FirewallBuilder: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Osaarnii (talk | contribs)
No edit summary
Roim (talk | contribs)
 
(74 intermediate revisions by 4 users not shown)
Line 1: Line 1:
=Artikli autor ja versioneerimine=
=Artikli autorid ja versioneerimine=


'''Nimi:''' Oliver Saarniit<br />
'''Nimi:''' Oliver Saarniit AK41<br />
'''Grupp:''' AK41<br />
'''Nimi:''' Robert Õim A31<br />
'''Viimati muudetud:''' 30.01.2010<br />
'''Nimi:''' Risto Piirisaar A31<br />
'''Nimi:''' Kalev Vislapuu A31<br />
'''Viimati muudetud:''' 09.12.2010<br />
<blockquote style="margin: 2em 2em 2em 0;">
<blockquote style="margin: 2em 2em 2em 0;">
{| class="wikitable" style="text-align:leftt; padding: 1em; border: 1px #aaa solid; background: #f9f9f9;"  
{| class="wikitable" style="text-align:leftt; padding: 1em; border: 1px #aaa solid; background: #f9f9f9;"  
Line 16: Line 18:
|-
|-
|0.1.3 || 30.01.2010 || &nbsp;&nbsp;&nbsp; Valmis
|0.1.3 || 30.01.2010 || &nbsp;&nbsp;&nbsp; Valmis
|-
|0.1.4 || 20.11.2010 || &nbsp;&nbsp;&nbsp; Uus versioon
|-
|0.1.5 || 08.12.2010 || &nbsp;&nbsp;&nbsp; Uus versioon valmis
|}
|}
</blockquote>
</blockquote>
Line 21: Line 27:
=Legend ja skoop=
=Legend ja skoop=


Tutvustada artikli lugejale graafilist tulemüüri rakendust Firewall Builder, seletada ja näidata tema eeliseid ning tuua mõningad näited kuidas teda kasutada.
Tutvustada artikli lugejale graafilist tulemüüri rakendust Firewall Builder, selgitada tema eeliseid ning näidata sellise tulemüüri installeerimist, kus tuleb lubada veebiserver, SSH ja Samba. Tehtud tulemüüri paneme rakenduma arvuti alglaadimisel.
 
=Eeldused=
Käesolev juhend on testitud Ubuntu 10.04(lucid) Desktop, Firewall Builder v4.1.2(build 3346), iptables v1.4.4 .<br>
Kasutaja peab oskama kasutada käsurida ja mõistma tulemüüride toimimist.


=Sissejuhatus=
=Sissejuhatus=


Firewall Builder on graafiline tulemüüri rakendus, mille ülesandeks on kontrollida arvutisse tulevaid ja sealt väljuvaid võrgu ühendusi  ning vastavalt talle kehtestatud reeglitele need kas läbi lubada või keelata. See töö on küllaltki keeruline, kuna jälgides kõiki informatsioonivooge nii sise-kui välisvõrgu vahel peab vahel suutma kiiresti otsustama, millised neist infopakettidest on pahatahtlikud ja millised lubatavad.
Firewall Builder on graafiline tulemüüri rakendus, mille ülesandeks on lihtsustada erinevate tulemüüride rakendamist ja haldamist. Firewall Builderi tegemist alustati aastal 1999 Vadim Kurklandi poolt, algselt arendati seda Linuxi platvormile. Linuxi süsteemides on Firewall Builder'i pakid GNU Üldise Avaliku Litsentsi all. Nüüd on ka versioonid Windowsi ja Mac OS X platvormidele, neile pakub litsentseerimist NetCitadel, LLC.
 
Versioon 4.1.2 toetab:
*Linux iptables
*Cisco ruuteri ACL-id
*Cisco ASA/PIX
*OpenBSD pf
*FreeBSD ipfw
*ipfilter
*HP ProCurve ACL


Fwbuilder võimaldad lihtsamalt ja kasutaja sõbralikumalt seadistada mitmeid tulemüüri rakendusi erinevates operatsiooni süsteemides.
Operatsioonisüsteemid, mis Firewall Builderit toetavad:
Versioon 3.0 toetab:
* FWSM
* Ipfilter
* Ipfw
* Iptables
* PF
* PIX
Ja operatsioonisüsteeme mis teda toetavad:
* FreeBSD
* FreeBSD
* CISCO FWSM
* CISCO FWSM
* Linksys/Sveasoft
* Linksys/Sveasoft
* Gnu/Linux(Kernel 2,4 and 2,6)
* Gnu/Linux(Kernel 2,4 and 2,6)
* MacOS X
* Mac OS X
* Cisco PIX
* Cisco PIX
* Solaris
* Solaris
* Windows
* Windows
Kes hoolib oma arvuti turvalisusest ning ei oska või ei taha kasutada käsurida on fwbuilder ideaalne lahendus.
Fwbuilder ei ole mingil juhul  turvalisuse garantii, küll aga ta aitab turvalisusele kaasa.


=Firewall Builder'i plussid=
* '''Hoiab kokku teie aega:''' Firewall Builder on projekteeritud nii, et tulemüüride haldamine oleks lihtsam ja tõhusam. Firewall Builder võimaldab genereerida keerulisi tulemüüri konfiguratsioone, pole vaja meeles pidada süntaksit ega sisemisi operatsioone. See hoiab kokku aega ja vähendab tehtavaid vigu, mis tuleks käskude sisestamisest.
* '''Kasuta uuesti juba tehtud skripte:''' Firewall Builder põhineb kasutaja poolt defineeritud objektidel, mida saab taaskasutada mitmetes tulemüüri poliisides, mis muudavad muutused lihtsamaks. Kui on vaja uuendada IP aadressi, siis lihtsalt muuda objekti ja kompileeri uuesti poliisid tulemüüris, mis seda kasutasid.


=Firewall Builder=
* '''Varajane vigade tuvastus:''' Firewall Builder’is on ühendatud reeglite analüüs ja süntaksi kontrollimine, mis aitab vältida kulukaid vigu. Kompileerija genereerib reegleid alati õige süntaksiga ja Firewall Builderis on sisseehitatud kaitse, mis aitab vältida tavalisi vigu nagu tulemüüri reegli uuendamine.
Fwbuilder on registreeritud firma SourceForge poolt 2000 aastal, ning iga järgmine aasta on seda programmi arendatud ja täiustatud. Programmi arendus toimub edasi ja koguaeg lisatakse programmile uusi võimalusi ja parandatakse turvaauke ja tehakse kasutaja sõbralikumaks.
 
Kui teil tekib Fwbuilderi kasutamisega probleem millega ise jagu i saa on kõige lihtsam minna programmi kodukale ja sealt esitada küsimus teistele, kuda saan oma probleemi lahendada.
* '''Halda oma seadmeid kaugelt:''' Firewall Builderis on võimalus seadistada kaugelt oma seadmeid, alustades  lihtsast ruuterist ja lõpetades väga keerulistega seadmetega. Firewall Builder on loodud seadistama nii lokaalseid kui ka kaughallatavaid tulemüüre.
Miks siis just kasutada Fwbuilder'it, mis kasu me sellest saame.<br>
 
Plussid:
* '''Kasuta Firewall Builderit erinevates seadmetes:''' Seadme neutraalne tulemüüri poliis teeb lihtaks tulemüüri seadmete vahetamise. Reegleid saab kopeerida ühelt seadmelt teisele ja Firewall Builder muudab automaatselt, mida vaja ja arvestab uue seadme võimalustega. Administraator töötab üldise tulemüüri ideega, mitte ühe kindla tulemüüri implementeerimisega.
* Hoiab kokku teie aega: Fwbuilder võimaldab genereerida keerulisi iptables'i konfiguratsioone. Sa ei pea meeles pidama igasugu detaile, nende süntakse ja sisemisi operatsioone. See hoiab kokku teie aega ja vähendab teiepoolt tehtavaid vigu.  Fwbuilderiga valmis kirjutatud skriptid näevad välja  samasugused mis oleks te valmis kirjutanud kui oleks kasutanud käsurida.
 
* Kasuta uuesti juba tehtud skripte: Tee uus objekt mis esindab sinu võrku, serverit või servist ükskord valmis ja kasuta seda vajadusel nii mitu korda kui soovid. Sa ei pea kogu oma tulemüüri või ruuteri võrgustiku läbi otsima, et seda skripti leida ja parandada. Lihtsalt, vaheta ta objektiks, rekompileeri ja taaskäivita ning asi toimibki. Võid teha ka oma templaidid tulemüüri objektide ja reeglitega ning vajadusel kasutada neid.
*'''Tugi platvormidele:''' Tulemüüri käsurea süntaks võib olla keeruline ja raske. Firewall Builder annab kasutajatele kergema mooduse luua keerulisi tulemüüri reegleid kasutades defineeritud graafilise kasutajaliidese objekte ja seega pole vaja otsida õigeid käske, mis on erinevatel seadmetel erinevad.
* Varajane vigade tuvastus: Annab varakult teada sinupoolt tehtud vigadest ning aitab sul juba algfaasis ära hoida väga palju igasugu erinevaid vigu.
 
* Halda oma seadmeid kaugelt: Võimalus seadistada kaugelt oma seadmeid, alustades  lihtsast ruuterist, lõpetades väga keerulistega seadmetega. Fwbuilder on loodud seadistama lokaalselt tulemüüri kui ka kaugelt hallatavalt tulermüüre.
*'''Probleemideta uuendamine:'''Tulemüüri tarkvara uued versioonid toovad tavaliselt kaasa uusi funktsioone. Firewall Builder võtab ära piina versiooni uuendamisel sellega, et kasutajad saavad samu tulemüüri reegleid kasutada uuel seadme versioonil, ilma muutusi tegemata.
* Vabane oma vanadest progedest ja võta kasutusele ainult FWbuilder: Kui sa ennem kasutasid mitut erinevat programmi, ühega seadistasid windowsi tulemüüri, teisega linuxi iptables ja kolmandaga veel Cisco ruutereid, siis nüüd või nende programmide asemel kasutada ainult ühte programmi, milleks siis FWbuilder. Expordi vanadest programmidest konfifailid ning impordi nad FWbuilderisse.
Miinused:
* Iga lisa rakendus, mis me oma arvutisse või serverisse installime on potensiaalne ohu allikas. Keegi võib ära kasutada selle rakenduse nõrkuse või veel parandamata turvaaugu ning meile sellega väga palju kahju teha.
* Arvutisse peab olema installitud GUI.
'''
=Üldinformatsioon=
Käesolev juhend on testitud:  
* Ubuntu 9.10 Desktop Edition
* Fwbuilder 3.0.7
* Iptables 1.3.6


=Installeerimine=
=Installeerimine=
Instaleerimise eelduseks on järgnevate pakettide olemasolu hädavajalik:
===Ubuntu pakiladu===
* libxml2 v2.4.10 või uuem
Ligipääsuks Ubuntu stabiilsele pakile tuleb lisada järgnev käsk faili /etc/apt/sources.list (Juhul, kui kasutate mingit muud Ubuntu versiooni, tuleb ''lucid'' asendada teie kasutatava versiooni koodnimega.)
* libxslt v1.0.7  või uuem
<pre>
* ucd-snmp või net-snmp
deb http://www.fwbuilder.org/deb/stable/ lucid contrib
* openssl
</pre>
* QT 4.3.x, 4.4.x Fwbuilder sõltub QT 4.3 or 4.4, it will not work with 4.2 (Qt™ on kasutajaliideste loomiseks kasutatav klassiteek, mille aluseks on C++, ta on väga võimas  tööriistakomplekt, mis pakub kõike, mida läheb vaja moodsa kasutajaliidese loomiseks. )
 
Kui neist mõni pakett puudub teie arvutis, siis installige see.<br>
Pakid ladudes on alla kirjutatud GPG võtmega. Seega tuleb tõmmata avalik võti ja lisada võtmeahelasse, verifitseerimaks paki terviklikust ladudes. Võtme lisamiseks Ubuntu'le tuleb sisestada käsk:
{paketi nimi} pakett, mis hetkel puudu
<pre>
wget http://www.fwbuilder.org/PACKAGE-GPG-KEY-fwbuilder.asc
apt-key add PACKAGE-GPG-KEY-fwbuilder.asc
</pre>
 
Peale seda saab installeerida käsuga:
<pre>
<pre>
sudo apt-get install {paketi nimi}
apt-get install fwbuilder libfwbuilder
</pre>
</pre>
Nüüd, kui loetletud paketid  on süsteemis olemas, alustame  fwbuilderi paigaldamist.<br>
 
===Deb pakist installeerimine===
 
Deb-pakist installeerimiseks tuleb alla laadida kaks pakki:
 
Näide 32-bit platvormile:
* libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb
* fwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb
 
Näide 64-bit platvormile:
* libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
* fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
 
''Näidetes antud pakid sobivad ainult Ubuntu versioonile 10.04 (Lucid Lynx).''
 
Sõltuvuste jaoks peab olema installeeritud järgnevad pakid:
* Firewall Builder kasutab QT 4.3 või hilisemaid kättesaadavaid võimalusi ja ei tööta 4.2-ga.
 
Firewall Builder'i installeerimiseks tuleb minna kataloogi, kuhu tõmmati need kaks pakki ja sisestada järgnev käsk:
 
32-bit platvormile:
<pre>
dpkg -i libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb \
  fwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb
</pre>
64-bit platvormile:
<pre>
<pre>
sudo -i  
dpkg -i libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb \
apt-get update
  fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
apt-get install fwbuilder
</pre>
</pre>
Nüüd on Firewall Builder paigaldatud.
==Näide.==
Kasutame fwbuilderit ja teeme  endale tulemüüri.
Tulemüür peab  lubama väljast poolt arvutit pingida ja arvutiga saab ühendust ainult läbi  SSH, kõik ülejäänu piirame.
Siin näites sisemist liiklust piirama ei hakka.
''Mida peame selleks tegema?''
Et algul asi väga keeruliseks ei läheks, kasutame Firewall Builderi wizardit, mis  aitab meil koostada tulemüüri reegleid.
* Teeme tulemüüri
* Paneme paika reegild
* Kompileerime ning salvestame oma tulemüüri seadistused
* Kustutame iptables varasemad seadmed
* Peale arvuti taaskäivitamist võetakse  meie tehtud tulemüür automaatselt kasutusele
* Varundame vajalikud conf failid.
Teeme tulemüüri <br>
Käivitmae fwbuilderi kas konsooli realt, sisestades käsu fwbuilder, või klikates hiirega fwbuilderi ikoonil.
Fwbuideri käivitamisel tuleb meile ette tervitusaken, kus antakse meile igasugu juhised kuidas seda programmi paremini kasutada, sulge see aken. Valime New Object ja valime New Firewall.(vaata pilti)<br>
[[Image:pilt1.jpg]] <br>
Ette hüppab uus aken, kus palutakse meil valida: <br>
[[Image:pilt2.jpg]] <br>
Esimeses aknas palutakse sisestada uue tulemüüri nimi, näites tulemuur <br>
Teiseses aknas, küsitakse  mis tulemüüri rakendus kasutame, meil iptables <br>
Kolmandas lahtris palutakse määrata mis operatsiooni süsteemi kasutate, meil Linux 2.4/2.6 <br>
Paneme kasti linnukese, et saaks valida template'sid ning vajutame NEXT. <br>
[[Image:pilt3.jpg]] <br>
Tuli ette aken kus pakutakse juba valmislahendusi ehk template.
Valime host of template (vaata pilti)
[[Image:pilt4.jpg]] <br>
Vajuta NEXT <br>
[[Image:pilt5.jpg]] <br>
Logi failist näeme, et tekitati fail nimega tulemuur.fwb, mis siis ongi hetkel meil tulemüür.


Avame konsooli akna ja kirjutame järgmised read:
=Seadistamine=
<pre> sudo -i </pre>
Käivitame Firewall Builderi kas käsurealt, sisestades <pre>fwbuilder</pre> või System -> Administraton -> Firewall Builder <br>
Sisestame salasõna
Valime <b>Create new firewall</b><br>
Hetkel veel meil on tulemüüri eest iptables. Vaatame, mis on iptables'is lubatud ja mis keelatud.
Ette hüppab uus aken, kus palutakse meil valida tulemüüri nimi (<i>firewall1</i>), tüüp (<i>iptables</i>) ja operatsioonisüsteem (<i>Linux 2.4/2.6</i>), millel antud tulemüür töötab.<br>
<pre>  
Märgime linnukesega, et soovime kasutada eelkonfigureeritud malle ning vajutame <b>Next</b><br>
iptables -L </pre>
[[Image:Fwbuilder412.jpg | 300px]] <br><br>
Kustutame reeglikogu reeglid ja reeglikogu ise
Valime omale sobiva malli, milleks antud juhul on <b>host fw template 1</b> ja vajutame <b>Next</b><br>
<pre>  
Paneme paika tulemüüri võrguliidese aadressi (antud näites kasutame staatilist aadressi) ning vajutame <b>Finish</b><br>
iptables -F
[[Image:Fwbuilder413.jpg | 300px]] <br><br>
iptables -X
Tulemüüri objekt on nüüd loodud ning poliisi on lisatud esmased reeglid.<br>
[[Image:Fwbuilder414.jpg | 300px]] <br><br>
Vajutame nupule <b>Firewall settings</b> ning valime vahekaardi <b>Installer</b><br>
Määrame kausta kuhu tulemüüri skript paigutatakse (<i>/etc/fw</i>) ja kasutajanime, millega tulemüüri üle ssh sisse logime (<i>root</i>).<br>
<b>Valitud kaust peab tulemüüri masinas olemas olema ning kasutajal peab olema parool.</b> Vajutame <b>OK</b>.<br>
[[Image:Fwbuilder415.jpg | 300px]] <br><br>
Firewall Builder'is on vaja iga tulemüüri jaoks määrata haldusliides. Selleks topeltklikk vastava liidese peal (meil eth0) ning linnuke valiku <b>Management interface</b> ette.<br>
[[Image:Fwbuilder416.jpg | 300px]] <br><br>
Firewall Builderi reeglite loomine töötab <i>drag-and-drop</i> põhimõttel ning kasutatavate objektide jaoks on 2 teeki: Standard ja User.<br>
* User teek sisaldab kõiki kasutaja loodud objekte (nagu meie tulemüür)
* Standard teek sisaldab enimlevinud teenuseid, porte ja aadressivahemikke
[[Image:Fwbuilder418.jpg | 300px]] <br><br>
Hetkel on meie poliisis lubatud vajalikest teenustest vaid ssh. Lisame reeglid ka veebi- ja failiserveri jaoks.<br>
Selleks vajutame [[Image:Fwbuilder417.jpg]]<br>
Poliisi lisati uus reegel, mis hetkel keelab kogu liikluse. Lohistame User teegist reeglisse liidese eth0 ning Standard teegist lisame teenused SMB, NETBIOS, http ja https. Otsimist lihtsustab <i>Filter</i> lahter, mis võimaldab teenuseid nime järgi otsida. Täpsemaks otsinguks on nupp <i>Find Object</i> (Ctrl+F). Suunaks määrame <i>Inbound</i> ning teguviisiks <i>Accept</i>.<br>
Tulemüüri poliisi installeerimiseks peab tulemüüri olema võimalik sisse logida üle ssh. Enne installimist tuleb .fwb fail salvestada. Järgmiseks vajutame <i>Install</i> ning paneme linnukesed valikute Compile ja Install juurde.<br>
[[Image:Fwbuilder419.jpg]] <br><br>
Vajutame <b>Next</b><br>
Ootame, kuni kompileerimine on lõpetatud ning vajutame <b>Next</b><br>
Sisestame parooli ja vajutame <b>Install</b>.
Näites on kasutatud <b>root</b> kasutajat.<br>
[[Image:Fwbuilder420.jpg | 300px]] <br><br>
Ootame, kuni installeerimine on lõpetatud ning vajutame <b>Finish</b><br>
<br>
Et tulemüür võtaks automaatselt meie poliisi igal alglaadimisel kasutusele, muudame /etc/network/interfaces faili <br>
<pre>
nano /etc/network/interfaces
</pre>
</pre>
Nüüd kui vaatame iptablesi sisu
Lisame oma tulemüüriskripti asukoha.
<pre> iptables -L </pre>
Peab olema kõik tühi nagu järgmisel pildil näha. <br>
[[Image:pilt6.jpg]] <br>
Laseme nüüd oma tulemüüri skripti käima <br>
[oliver] teie kasutaja kodukataloog <br>
<pre>
<pre>
/home/[oliver]/tulemuur.fw
pre-up /etc/fw/firewall1.fw
</pre>
</pre>
Kui kõik OK antakse teile teada, et tulemüüri skript on OK ja võeti kasutusele. <br>
 
Vaatame iptables'i sisse <br>
=Skriptide võrdlus=
Sama poliisi alusel genereeritud skriptide võrdlus http, https'i ja Samba teenuste näitel.
===Iptables Ubuntu baasil===
<pre>
<pre>
iptables -L
    echo "Rule 2 (eth0)"
    #
    $IPTABLES -N In_RULE_2
    $IPTABLES -A INPUT  -i eth0  -p tcp -m tcp  -m multiport  --dports 445,139,80,443  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A INPUT  -i eth0  -p udp -m udp  -m multiport  --dports 138,137  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A FORWARD  -i eth0  -p tcp -m tcp  -m multiport  --dports 445,139,80,443  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A FORWARD  -i eth0  -p udp -m udp  -m multiport  --dports 138,137  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A In_RULE_2  -j LOG  --log-level info --log-prefix "RULE 2 -- ACCEPT "
    $IPTABLES -A In_RULE_2  -j ACCEPT
</pre>
</pre>
Enam ei tohiks olla tühi nagu ennem. <br>
===Packet Filter OpenBSD baasil===
Et arvuti võtaks automaatselt meie tulemüüri kasutusele, kirjutame järgmised read <br>
<pre>
<pre>
vim /etc/rc.local
# Rule  2 (eth0)
pass in  log  quick on eth0 inet proto tcp  from any  to any port { 445, 139, 80, 443 } keep state  label "RULE 2 -- ACCEPT " 
pass in  log  quick on eth0 inet proto udp  from any  to any port { 138, 137 } keep state  label "RULE 2 -- ACCEPT "
</pre>
</pre>
faili järgmise rea
===Cisco IOS ACL===
<pre>
<pre>
/home/[oliver]/tulemuur.fw
! Rule  2 (eth0)
  permit tcp  any  any  eq 445 log
  permit tcp  any  any  eq 139 log
  permit tcp  any  any  eq 80 log
  permit tcp  any  any  eq 443 log
  permit udp  any  any  eq 138 log
  permit udp  any  any  eq 137 log
</pre>
</pre>
Salvestama faili, teeme arvutile restardi ja asi toimib. <br>
 
=Varundamine=
=Varundamine=
Meie näites tuleks varundada kaks faili, tulemuur.fwb ja tulemuur.fw. Failid .fwb lõpuga on fwbuilderi konfiguratsiooni failid, neid saab fwbuilderis vajadusel muuta ning vajadusel uuesti kompileerida meile vajalikuks .fw faili lõpuga tulemüüriks.
Firewall Builder'i puhul tuleb varundada kaht tüüpi faile: .fwb ja .fw. Failid .fwb lõpuga on Firewall Builderi konfiguratsiooni failid, neid saab Firewall Builderis vajadusel muuta ning vajadusel uuesti kompileerida meile vajalikuks .fw faili lõpuga tulemüüriks.
Et varundamine oleks võimalikult lihtne on soovitav neid faile hoida ühes kindlas kataloogis. Need failid on soovitav kopeerida näiteks mälupulgale või või teisele kettale, kust te need vajadusel kiiresti kätte saate.
Et varundamine oleks võimalikult lihtne on soovitav neid faile hoida ühes kindlas kataloogis. Need failid on soovitav kopeerida näiteks mälupulgale või või teisele kettale, kust te need vajadusel kiiresti kätte saate.
=Kasutatud kirjandus=
http://www.fwbuilder.org/4.0/docs/users_guide/
[[Category:IT infrastruktuuri teenused]]
[[Category:IT infrastruktuuri teenused]]

Latest revision as of 22:52, 15 December 2010

Artikli autorid ja versioneerimine

Nimi: Oliver Saarniit AK41
Nimi: Robert Õim A31
Nimi: Risto Piirisaar A31
Nimi: Kalev Vislapuu A31
Viimati muudetud: 09.12.2010

Versioon Lisatud   Kommentaar
0.1 20.01.2010     Artikli loomine
0.1.1 20.01.2010     Esialgne sisu sisestus
0.1.2 29.01.2010     Artikli täiendamine
0.1.3 30.01.2010     Valmis
0.1.4 20.11.2010     Uus versioon
0.1.5 08.12.2010     Uus versioon valmis

Legend ja skoop

Tutvustada artikli lugejale graafilist tulemüüri rakendust Firewall Builder, selgitada tema eeliseid ning näidata sellise tulemüüri installeerimist, kus tuleb lubada veebiserver, SSH ja Samba. Tehtud tulemüüri paneme rakenduma arvuti alglaadimisel.

Eeldused

Käesolev juhend on testitud Ubuntu 10.04(lucid) Desktop, Firewall Builder v4.1.2(build 3346), iptables v1.4.4 .
Kasutaja peab oskama kasutada käsurida ja mõistma tulemüüride toimimist.

Sissejuhatus

Firewall Builder on graafiline tulemüüri rakendus, mille ülesandeks on lihtsustada erinevate tulemüüride rakendamist ja haldamist. Firewall Builderi tegemist alustati aastal 1999 Vadim Kurklandi poolt, algselt arendati seda Linuxi platvormile. Linuxi süsteemides on Firewall Builder'i pakid GNU Üldise Avaliku Litsentsi all. Nüüd on ka versioonid Windowsi ja Mac OS X platvormidele, neile pakub litsentseerimist NetCitadel, LLC.

Versioon 4.1.2 toetab:

  • Linux iptables
  • Cisco ruuteri ACL-id
  • Cisco ASA/PIX
  • OpenBSD pf
  • FreeBSD ipfw
  • ipfilter
  • HP ProCurve ACL

Operatsioonisüsteemid, mis Firewall Builderit toetavad:

  • FreeBSD
  • CISCO FWSM
  • Linksys/Sveasoft
  • Gnu/Linux(Kernel 2,4 and 2,6)
  • Mac OS X
  • Cisco PIX
  • Solaris
  • Windows

Firewall Builder'i plussid

  • Hoiab kokku teie aega: Firewall Builder on projekteeritud nii, et tulemüüride haldamine oleks lihtsam ja tõhusam. Firewall Builder võimaldab genereerida keerulisi tulemüüri konfiguratsioone, pole vaja meeles pidada süntaksit ega sisemisi operatsioone. See hoiab kokku aega ja vähendab tehtavaid vigu, mis tuleks käskude sisestamisest.
  • Kasuta uuesti juba tehtud skripte: Firewall Builder põhineb kasutaja poolt defineeritud objektidel, mida saab taaskasutada mitmetes tulemüüri poliisides, mis muudavad muutused lihtsamaks. Kui on vaja uuendada IP aadressi, siis lihtsalt muuda objekti ja kompileeri uuesti poliisid tulemüüris, mis seda kasutasid.
  • Varajane vigade tuvastus: Firewall Builder’is on ühendatud reeglite analüüs ja süntaksi kontrollimine, mis aitab vältida kulukaid vigu. Kompileerija genereerib reegleid alati õige süntaksiga ja Firewall Builderis on sisseehitatud kaitse, mis aitab vältida tavalisi vigu nagu tulemüüri reegli uuendamine.
  • Halda oma seadmeid kaugelt: Firewall Builderis on võimalus seadistada kaugelt oma seadmeid, alustades lihtsast ruuterist ja lõpetades väga keerulistega seadmetega. Firewall Builder on loodud seadistama nii lokaalseid kui ka kaughallatavaid tulemüüre.
  • Kasuta Firewall Builderit erinevates seadmetes: Seadme neutraalne tulemüüri poliis teeb lihtaks tulemüüri seadmete vahetamise. Reegleid saab kopeerida ühelt seadmelt teisele ja Firewall Builder muudab automaatselt, mida vaja ja arvestab uue seadme võimalustega. Administraator töötab üldise tulemüüri ideega, mitte ühe kindla tulemüüri implementeerimisega.
  • Tugi platvormidele: Tulemüüri käsurea süntaks võib olla keeruline ja raske. Firewall Builder annab kasutajatele kergema mooduse luua keerulisi tulemüüri reegleid kasutades defineeritud graafilise kasutajaliidese objekte ja seega pole vaja otsida õigeid käske, mis on erinevatel seadmetel erinevad.
  • Probleemideta uuendamine:Tulemüüri tarkvara uued versioonid toovad tavaliselt kaasa uusi funktsioone. Firewall Builder võtab ära piina versiooni uuendamisel sellega, et kasutajad saavad samu tulemüüri reegleid kasutada uuel seadme versioonil, ilma muutusi tegemata.

Installeerimine

Ubuntu pakiladu

Ligipääsuks Ubuntu stabiilsele pakile tuleb lisada järgnev käsk faili /etc/apt/sources.list (Juhul, kui kasutate mingit muud Ubuntu versiooni, tuleb lucid asendada teie kasutatava versiooni koodnimega.)

deb http://www.fwbuilder.org/deb/stable/ lucid contrib

Pakid ladudes on alla kirjutatud GPG võtmega. Seega tuleb tõmmata avalik võti ja lisada võtmeahelasse, verifitseerimaks paki terviklikust ladudes. Võtme lisamiseks Ubuntu'le tuleb sisestada käsk:

wget http://www.fwbuilder.org/PACKAGE-GPG-KEY-fwbuilder.asc
apt-key add PACKAGE-GPG-KEY-fwbuilder.asc

Peale seda saab installeerida käsuga:

apt-get install fwbuilder libfwbuilder 

Deb pakist installeerimine

Deb-pakist installeerimiseks tuleb alla laadida kaks pakki:

Näide 32-bit platvormile:

  • libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb
  • fwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb

Näide 64-bit platvormile:

  • libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
  • fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb

Näidetes antud pakid sobivad ainult Ubuntu versioonile 10.04 (Lucid Lynx).

Sõltuvuste jaoks peab olema installeeritud järgnevad pakid:

  • Firewall Builder kasutab QT 4.3 või hilisemaid kättesaadavaid võimalusi ja ei tööta 4.2-ga.

Firewall Builder'i installeerimiseks tuleb minna kataloogi, kuhu tõmmati need kaks pakki ja sisestada järgnev käsk:

32-bit platvormile:

dpkg -i libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb \
	  fwbuilder_4.1.2-b3346-ubuntu-lucid-1_i386.deb

64-bit platvormile:

dpkg -i libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb \
	  fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb

Seadistamine

Käivitame Firewall Builderi kas käsurealt, sisestades

fwbuilder

või System -> Administraton -> Firewall Builder

Valime Create new firewall
Ette hüppab uus aken, kus palutakse meil valida tulemüüri nimi (firewall1), tüüp (iptables) ja operatsioonisüsteem (Linux 2.4/2.6), millel antud tulemüür töötab.
Märgime linnukesega, et soovime kasutada eelkonfigureeritud malle ning vajutame Next


Valime omale sobiva malli, milleks antud juhul on host fw template 1 ja vajutame Next
Paneme paika tulemüüri võrguliidese aadressi (antud näites kasutame staatilist aadressi) ning vajutame Finish


Tulemüüri objekt on nüüd loodud ning poliisi on lisatud esmased reeglid.


Vajutame nupule Firewall settings ning valime vahekaardi Installer
Määrame kausta kuhu tulemüüri skript paigutatakse (/etc/fw) ja kasutajanime, millega tulemüüri üle ssh sisse logime (root).
Valitud kaust peab tulemüüri masinas olemas olema ning kasutajal peab olema parool. Vajutame OK.


Firewall Builder'is on vaja iga tulemüüri jaoks määrata haldusliides. Selleks topeltklikk vastava liidese peal (meil eth0) ning linnuke valiku Management interface ette.


Firewall Builderi reeglite loomine töötab drag-and-drop põhimõttel ning kasutatavate objektide jaoks on 2 teeki: Standard ja User.

  • User teek sisaldab kõiki kasutaja loodud objekte (nagu meie tulemüür)
  • Standard teek sisaldab enimlevinud teenuseid, porte ja aadressivahemikke



Hetkel on meie poliisis lubatud vajalikest teenustest vaid ssh. Lisame reeglid ka veebi- ja failiserveri jaoks.
Selleks vajutame
Poliisi lisati uus reegel, mis hetkel keelab kogu liikluse. Lohistame User teegist reeglisse liidese eth0 ning Standard teegist lisame teenused SMB, NETBIOS, http ja https. Otsimist lihtsustab Filter lahter, mis võimaldab teenuseid nime järgi otsida. Täpsemaks otsinguks on nupp Find Object (Ctrl+F). Suunaks määrame Inbound ning teguviisiks Accept.
Tulemüüri poliisi installeerimiseks peab tulemüüri olema võimalik sisse logida üle ssh. Enne installimist tuleb .fwb fail salvestada. Järgmiseks vajutame Install ning paneme linnukesed valikute Compile ja Install juurde.


Vajutame Next
Ootame, kuni kompileerimine on lõpetatud ning vajutame Next
Sisestame parooli ja vajutame Install. Näites on kasutatud root kasutajat.


Ootame, kuni installeerimine on lõpetatud ning vajutame Finish

Et tulemüür võtaks automaatselt meie poliisi igal alglaadimisel kasutusele, muudame /etc/network/interfaces faili

nano /etc/network/interfaces

Lisame oma tulemüüriskripti asukoha.

pre-up /etc/fw/firewall1.fw

Skriptide võrdlus

Sama poliisi alusel genereeritud skriptide võrdlus http, https'i ja Samba teenuste näitel.

Iptables Ubuntu baasil

    echo "Rule 2 (eth0)"
    # 
    $IPTABLES -N In_RULE_2
    $IPTABLES -A INPUT  -i eth0  -p tcp -m tcp  -m multiport  --dports 445,139,80,443  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A INPUT  -i eth0  -p udp -m udp  -m multiport  --dports 138,137  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A FORWARD  -i eth0  -p tcp -m tcp  -m multiport  --dports 445,139,80,443  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A FORWARD  -i eth0  -p udp -m udp  -m multiport  --dports 138,137  -m state --state NEW  -j In_RULE_2
    $IPTABLES -A In_RULE_2  -j LOG  --log-level info --log-prefix "RULE 2 -- ACCEPT "
    $IPTABLES -A In_RULE_2  -j ACCEPT

Packet Filter OpenBSD baasil

# Rule  2 (eth0)
pass in   log  quick on eth0 inet proto tcp  from any  to any port { 445, 139, 80, 443 } keep state  label "RULE 2 -- ACCEPT "  
pass in   log  quick on eth0 inet proto udp  from any  to any port { 138, 137 } keep state  label "RULE 2 -- ACCEPT " 

Cisco IOS ACL

! Rule  2 (eth0)
  permit tcp  any  any  eq 445 log 
  permit tcp  any  any  eq 139 log 
  permit tcp  any  any  eq 80 log 
  permit tcp  any  any  eq 443 log 
  permit udp  any  any  eq 138 log 
  permit udp  any  any  eq 137 log 

Varundamine

Firewall Builder'i puhul tuleb varundada kaht tüüpi faile: .fwb ja .fw. Failid .fwb lõpuga on Firewall Builderi konfiguratsiooni failid, neid saab Firewall Builderis vajadusel muuta ning vajadusel uuesti kompileerida meile vajalikuks .fw faili lõpuga tulemüüriks. Et varundamine oleks võimalikult lihtne on soovitav neid faile hoida ühes kindlas kataloogis. Need failid on soovitav kopeerida näiteks mälupulgale või või teisele kettale, kust te need vajadusel kiiresti kätte saate.

Kasutatud kirjandus

http://www.fwbuilder.org/4.0/docs/users_guide/