Tulemüüri graafilise liidesega: Difference between revisions
(62 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
Tulemüür graafilise liidesega | Tulemüür graafilise liidesega IPCopi näitel | ||
=Autor= | =Autor= | ||
Alvar Unuks AK32 aunuks (at) itcollege.ee | Alvar Unuks AK32 aunuks (at) itcollege.ee | ||
=Legend= | |||
Firma soovib oma sisevõrku kaitsta ja vajadusel piirata osade kasutajate liiklust ja omada ülevaadet mida kasutajad tööajal internetis surfates teevad. Samuti soovitakse firma külastajatele pakkuda wifi võimaust, ja et see oleks eraldi firma sisevõrgust, et wifi kasutajad ei näeks sisevõrkku. | |||
=Versioon= | =Versioon= | ||
1. | 0.1 18.12.2009 | ||
0.2 09.01.2010 | |||
0.3 19.01.2009 | |||
0.4 21.01.2009 | |||
0.5 30.01.2010 Lõplik viimistlemine | |||
=Sissejuhatus= | =Sissejuhatus= | ||
==Mis asi on tulemüür== | ==Mis asi on tulemüür== | ||
Tulemüür on tarkvara või seadeldis, mis piirab ja reguleerib võrguliiklust vastavalt seadistatud piirangutele (et.wikipedia.org). Teisisõnu on tulemüür võrguseade, mis eraldab sise- ja välisvõrku ning kaitseb sisevõrgus olevaid arvuteid (teie kontorit) välisvõrgust tulevate rünnete eest. Võrkudevaheline suhtlus toimub ainult tulemüüri kaudu – pole võimalik sellest mööda minna ja võrkude vahel ükskõik mis suunas "otseühendust" luua. IPCop on tulemüürilahendus, mis ühendab Sinu asutuse sisevõrgu turvaliselt Internetiga. Kogu liiklus baseerub seda lubavatel reeglitel - kui midagi pole lubatud, siis see tulemüürist läbi ei lähe. | |||
==Mis asi on IPCop ja mida sellega teha saab== | ==Mis asi on IPCop ja mida sellega teha saab== | ||
Line 13: | Line 26: | ||
Vana info IPCopi kohta voib leida siit [http://www.ipcop.org/index-pn.php] | Vana info IPCopi kohta voib leida siit [http://www.ipcop.org/index-pn.php] | ||
==Mida IPCop sisaldab== | |||
Network Address Translation (NAT) | |||
DHCP server | |||
VPN server | |||
Transparent Web proxy | |||
Secure Shell (SSH) ligipääs | |||
Port forwarding | |||
DMZ setup | |||
Detailsed hästi organiseeritud logid | |||
Intrusion Detection System (IDS) | |||
Liikluse statistika ja graafikud | |||
==Erinevad sektsioonid== | ==Erinevad sektsioonid== | ||
Line 29: | Line 56: | ||
=Paigaldamine ja häälestamine= | =Paigaldamine ja häälestamine= | ||
==Allalaadimine== | ==Allalaadimine== | ||
IPCopi saab allalaadida [http://sourceforge.net/apps/trac/ipcop/wiki] | IPCopi saab allalaadida www.ipcop.org [http://sourceforge.net/apps/trac/ipcop/wiki] | ||
==Tarkvara paigaldamine== | ==Tarkvara paigaldamine== | ||
Esimese asjana peaks IPCopi laadima alla ISO image, kirjutama plaadile kasutades oma kirjutamise tarkvara ja sisestama plaadi arvutisse millega plaanite tulemüüri pakkumist. | Esimese asjana peaks IPCopi laadima alla ISO image, kirjutama plaadile kasutades oma kirjutamise tarkvara ja sisestama plaadi arvutisse millega plaanite tulemüüri pakkumist. | ||
Line 35: | Line 63: | ||
Esmane ekraanipilt on selline kui masin hakkab bootima, vajutage <Enter> | Esmane ekraanipilt on selline kui masin hakkab bootima, vajutage <Enter> | ||
[[Image:001-boot_screen-150x150.png]] | [[Image:001-boot_screen-150x150.png]] | ||
Järgmiseks valige keel ja boot meedia | |||
[[Image:002-installation_media.png]] | |||
Järgmisena valige võrgukaardi draiverid, seda saab valida käsitsi või lasta automaatselt need paika panna | |||
Sisestage IP aadress mida tahate näha rohelise sektsiooni jaoks | |||
[[Image:005-green_ip.png]] | |||
5. Type in the IP address that you want for the Green interface. This will also set up the DHCP address space for the Green interface. Once you save the IP, IPCop will tell you that it was successfully installed. Click OK one more time to continue. | |||
Valige oma klaviatuuri layout, ajavöönd, andke hostname ja domeeni nimi tulemüürile | |||
Kui te mingil põhjusel kasutate ISDN, te saate seda seadistada. Muul juhul valige disable ISDN | |||
Nüüd konfigureerige oma võrk. Valige "Network Configuration Type" ja valige millise võrgu soovite konfigureerida. Lihtsa kahe võrgu kaardiga võrgu jaoks valige Green+Red | |||
Valige ‘Drivers and Card Assignments’ et konfigureerida uus Red kaart. Kinnitage et te tahate muuta sätteid, ja see peab nägema et seal on konfigureerimata NIC. Lisage ta punasele | |||
Valige ‘Address Settings’ ja siis Red interface. Valige millist tüüpi püsiühendust te kasutate (staatiline kui teie ISP on andnud teile staatilise IP aadressi, DHCP muudel puhkudel | |||
Kui te tahate konfigureerida DHCP rohelise võrgu jaoks, mine alla ja vali ‘DHCP Server Configuration’ Täida sätted mida soovid kasutada | |||
Nüüd valige paroolid süsteemile. | |||
root parool füüsiliseks ja ssh ks | |||
admin parool millega pääseb web interfaceile ligi | |||
backup parool millega saab teha backupi | |||
Nüüd on kõik nõuded täidetud ja masin teeb reboodi. | |||
Et ligipääseda uuele tulemüürile, mine aadressile http://<rohelise kaardi aadress mille sisestasid>:81 . Sealt edasi saad muuta sätteid | |||
=Seadistamine= | =Seadistamine= | ||
Kui IPCop on installeeritud, te pääsete Webi liidesele ligi kas HTTP või HTTPS | |||
192.168.1.1 vaheta välja oma IP aadressiga, mille oled lisanud oma rohelisele kaardile | |||
http://ipcop:81 | |||
https://ipcop:445 | |||
http://192.168.1.1:81 | |||
https://192.168.1.1:445 | |||
==Töötavad teenused== | |||
See on põhi leht kust leiate informatsiooni IPCopil jooksvate ja peatatud teenuste kohta. Selle lehe leiate System>System status. | |||
Te omate kontrolli 5 teenuse üle (IDS, DHCP, Web proxy, VPN, and SSH ja te saate nad välja lülitada kui on vajadus. Üle jäänud 5 teenust peavad alati olema sisse lülitatud. Kui mõni neist on välja lülitatud siis peate tegema restardi IPCopile | |||
Järgmistes moodulites näed | |||
mälu kasutust, RAM i, cache ja SWAP i kasutamine | |||
kõvaketta kasutust | |||
inodede kasutust | |||
uptime ja kasutajad | |||
laaditud moodulid | |||
kernel | |||
[[Image:Ipcop-firewall-t018040312hin01a.jpg]] | |||
==Web proxy seadistamine== | |||
Web proxy ei ole sisse lülitatud by default. IPCop sisaldab endas sisseehitatud Squid Web Proxy Cache, populaarset vabavaralist web proxy serveri tarkvara. | |||
Web proxy saab sisselülitada Services > Proxy | |||
[[Image:Ipcop-firewall-t018040312hin01c.jpg ]] | |||
==Muud teenused== | |||
DHCP server | |||
Port forwarding— Siin saate suunata punasel poolel tulemüüri olevad pordid serveritele tulemüüri taga. | |||
Välised aliased — See on võimalik kui teie punane interface omab staatilist IP aadressi. Tüüpiliselt on see kasutusel kui teil IP aadressite vahemik teie ISPlt ja te soovite nad ümber suunata teatud serveritele tulemüüri taga. | |||
Väliste teenuste ligipääs- See on vajalik juhul kui soovute oma tulemüüri administreerida väljapoolt internetist (mis on loomulik suur turvarisk, aga see on vajalik vahetevahel. | |||
DMZ pinholes— see on koht kus sa sisestad informatsiooni portide kohta serveritel mis asuvad DMZ tsoonis. See on võimalik juhul kui te olete installerimise käigus valinud oranzi interfaci | |||
Dünaamiline DNS— neile kes soovivad servereid hoida IPCopi taga, aga neil pole staatilist IP aadressi, ainuke võimalus on kasutada dünaamilist DNS teenust nagu dyndns.org või zoneedit.com. IPCop toetab neid kahte teenust, nagu ka teisi teenuseid mis on allalastav menüüs selles sektsioonis | |||
=Logi failid= | |||
Logi failid asuvad aadressil | |||
cd /var/log | |||
/var/log/logwatch | |||
Vajutage Logs lingile, sealt avaneb järgmine vaade, kust saate valida millist logi soovite vaadata | |||
Kernel | |||
SSH | |||
IPsec | |||
DHCP server | |||
Kui vajutate Web proxy link, siis näete nimekirja failidest mida IPCop proxy server on puhverdanud. | |||
Üks hea omadus on, et saate valida source IP järgi mis on puhverdatud ainult antud süsteemi poolt. See on kasulik ründe analüüsiks või mõne töötaja interneti kasutuse monitoorimiseks | |||
Järgmiseks, kliki Firewall linki ja te näete nimekirja pakettidest mida teie IPCop tulemüür on blokkinud. | |||
=IPCopi uuendamine= | |||
IPCopi uuendused tulevad alati kiiresti, kui on avastatud mingi turvaauk. Kui te kasutate IPCop tulemüür, siis peaksite liituma IPCop-Announce maili listiga. Selle kaudu liiguvad eated paranduste ja uuenduste kohta. | |||
IPCopi on lihtne uuendada, | |||
System link Updates. Seal näete kõiki saadaolevaid uuendusi teie versioonile, seletavad mida nad teevad, ja näitavad kas oled nad juba installerinud või mitte. | |||
[[Image:Ipcop-firewall-t018040312hin01f.jpg ]] | |||
=IPCopi lisad= | |||
IPCopile on võimalik lisada erinevaid teiste poolte tehtud lisasid, mis pole niiöelda ametlikud, millega on võimalik teha lisa teenuseid | |||
[http://sourceforge.net/apps/trac/ipcop/wiki/Addons] | |||
Copfilter - viiruste tõrje e-mailidest | |||
Banish - Lihtsalt blokeerib ligipääsu IP, CIDR, Domeeni ja MAC Aadressi põhiselt. | |||
BlockOutTraffic (BOT)- blokeerib kogu liikluse mis muidu IPCopis lubatud | |||
=Varundus ja taastamine= | |||
==Andmete asukohad== | |||
/var/ipcop/backup | |||
==Varundamise ja taastamise näited== | |||
Kõige lihtsam viis on varundada valides System > Backup | |||
Sealt Select Media ja varundada | |||
=Kasutatud materjal= | |||
[[Category:IT infrastruktuuri teenused]] | [[Category:IT infrastruktuuri teenused]] | ||
www.ipcop.org |
Latest revision as of 11:40, 30 January 2010
Tulemüür graafilise liidesega IPCopi näitel
Autor
Alvar Unuks AK32 aunuks (at) itcollege.ee
Legend
Firma soovib oma sisevõrku kaitsta ja vajadusel piirata osade kasutajate liiklust ja omada ülevaadet mida kasutajad tööajal internetis surfates teevad. Samuti soovitakse firma külastajatele pakkuda wifi võimaust, ja et see oleks eraldi firma sisevõrgust, et wifi kasutajad ei näeks sisevõrkku.
Versioon
0.1 18.12.2009
0.2 09.01.2010
0.3 19.01.2009
0.4 21.01.2009
0.5 30.01.2010 Lõplik viimistlemine
Sissejuhatus
Mis asi on tulemüür
Tulemüür on tarkvara või seadeldis, mis piirab ja reguleerib võrguliiklust vastavalt seadistatud piirangutele (et.wikipedia.org). Teisisõnu on tulemüür võrguseade, mis eraldab sise- ja välisvõrku ning kaitseb sisevõrgus olevaid arvuteid (teie kontorit) välisvõrgust tulevate rünnete eest. Võrkudevaheline suhtlus toimub ainult tulemüüri kaudu – pole võimalik sellest mööda minna ja võrkude vahel ükskõik mis suunas "otseühendust" luua. IPCop on tulemüürilahendus, mis ühendab Sinu asutuse sisevõrgu turvaliselt Internetiga. Kogu liiklus baseerub seda lubavatel reeglitel - kui midagi pole lubatud, siis see tulemüürist läbi ei lähe.
Mis asi on IPCop ja mida sellega teha saab
IPCop tulemüür on Debian Linuxi tulemüüri distributsioon. See on mõeldud kodukasutajatele ja SOHO kasutajatele. IPCopi web kasutaja liides on väga kasutaja sõbralik ja teeb kasutamise lihtsaks.
Vana info IPCopi kohta voib leida siit [1]
Mida IPCop sisaldab
Network Address Translation (NAT) DHCP server VPN server Transparent Web proxy Secure Shell (SSH) ligipääs Port forwarding DMZ setup Detailsed hästi organiseeritud logid Intrusion Detection System (IDS) Liikluse statistika ja graafikud
Erinevad sektsioonid
IPCop lubab sul jagada oma võrk erinevateks sektsioonideks roheline -usaldusväärne sisevõrk oranz - DMZ punane - internet sinine - WIFI
Mida on plaanis teha
Eeldused / nõuded
Nõuded riistavarale
min. 386 Protsessor, 32MB RAM, 300MB kõvaketas ja 2 võrgukaarti
Paigaldamine ja häälestamine
Allalaadimine
IPCopi saab allalaadida www.ipcop.org [2]
Tarkvara paigaldamine
Esimese asjana peaks IPCopi laadima alla ISO image, kirjutama plaadile kasutades oma kirjutamise tarkvara ja sisestama plaadi arvutisse millega plaanite tulemüüri pakkumist. Valige BIOSist, et arvuti boodiks esimesena CD/DVD pealt
Esmane ekraanipilt on selline kui masin hakkab bootima, vajutage <Enter>
Järgmiseks valige keel ja boot meedia
Järgmisena valige võrgukaardi draiverid, seda saab valida käsitsi või lasta automaatselt need paika panna
Sisestage IP aadress mida tahate näha rohelise sektsiooni jaoks
5. Type in the IP address that you want for the Green interface. This will also set up the DHCP address space for the Green interface. Once you save the IP, IPCop will tell you that it was successfully installed. Click OK one more time to continue. Valige oma klaviatuuri layout, ajavöönd, andke hostname ja domeeni nimi tulemüürile
Kui te mingil põhjusel kasutate ISDN, te saate seda seadistada. Muul juhul valige disable ISDN
Nüüd konfigureerige oma võrk. Valige "Network Configuration Type" ja valige millise võrgu soovite konfigureerida. Lihtsa kahe võrgu kaardiga võrgu jaoks valige Green+Red
Valige ‘Drivers and Card Assignments’ et konfigureerida uus Red kaart. Kinnitage et te tahate muuta sätteid, ja see peab nägema et seal on konfigureerimata NIC. Lisage ta punasele
Valige ‘Address Settings’ ja siis Red interface. Valige millist tüüpi püsiühendust te kasutate (staatiline kui teie ISP on andnud teile staatilise IP aadressi, DHCP muudel puhkudel
Kui te tahate konfigureerida DHCP rohelise võrgu jaoks, mine alla ja vali ‘DHCP Server Configuration’ Täida sätted mida soovid kasutada
Nüüd valige paroolid süsteemile. root parool füüsiliseks ja ssh ks admin parool millega pääseb web interfaceile ligi backup parool millega saab teha backupi
Nüüd on kõik nõuded täidetud ja masin teeb reboodi.
Et ligipääseda uuele tulemüürile, mine aadressile http://<rohelise kaardi aadress mille sisestasid>:81 . Sealt edasi saad muuta sätteid
Seadistamine
Kui IPCop on installeeritud, te pääsete Webi liidesele ligi kas HTTP või HTTPS 192.168.1.1 vaheta välja oma IP aadressiga, mille oled lisanud oma rohelisele kaardile
Töötavad teenused
See on põhi leht kust leiate informatsiooni IPCopil jooksvate ja peatatud teenuste kohta. Selle lehe leiate System>System status. Te omate kontrolli 5 teenuse üle (IDS, DHCP, Web proxy, VPN, and SSH ja te saate nad välja lülitada kui on vajadus. Üle jäänud 5 teenust peavad alati olema sisse lülitatud. Kui mõni neist on välja lülitatud siis peate tegema restardi IPCopile
Järgmistes moodulites näed
mälu kasutust, RAM i, cache ja SWAP i kasutamine
kõvaketta kasutust
inodede kasutust
uptime ja kasutajad
laaditud moodulid
kernel
Web proxy seadistamine
Web proxy ei ole sisse lülitatud by default. IPCop sisaldab endas sisseehitatud Squid Web Proxy Cache, populaarset vabavaralist web proxy serveri tarkvara.
Web proxy saab sisselülitada Services > Proxy
Muud teenused
DHCP server
Port forwarding— Siin saate suunata punasel poolel tulemüüri olevad pordid serveritele tulemüüri taga.
Välised aliased — See on võimalik kui teie punane interface omab staatilist IP aadressi. Tüüpiliselt on see kasutusel kui teil IP aadressite vahemik teie ISPlt ja te soovite nad ümber suunata teatud serveritele tulemüüri taga.
Väliste teenuste ligipääs- See on vajalik juhul kui soovute oma tulemüüri administreerida väljapoolt internetist (mis on loomulik suur turvarisk, aga see on vajalik vahetevahel.
DMZ pinholes— see on koht kus sa sisestad informatsiooni portide kohta serveritel mis asuvad DMZ tsoonis. See on võimalik juhul kui te olete installerimise käigus valinud oranzi interfaci
Dünaamiline DNS— neile kes soovivad servereid hoida IPCopi taga, aga neil pole staatilist IP aadressi, ainuke võimalus on kasutada dünaamilist DNS teenust nagu dyndns.org või zoneedit.com. IPCop toetab neid kahte teenust, nagu ka teisi teenuseid mis on allalastav menüüs selles sektsioonis
Logi failid
Logi failid asuvad aadressil
cd /var/log /var/log/logwatch
Vajutage Logs lingile, sealt avaneb järgmine vaade, kust saate valida millist logi soovite vaadata Kernel
SSH
IPsec
DHCP server
Kui vajutate Web proxy link, siis näete nimekirja failidest mida IPCop proxy server on puhverdanud. Üks hea omadus on, et saate valida source IP järgi mis on puhverdatud ainult antud süsteemi poolt. See on kasulik ründe analüüsiks või mõne töötaja interneti kasutuse monitoorimiseks
Järgmiseks, kliki Firewall linki ja te näete nimekirja pakettidest mida teie IPCop tulemüür on blokkinud.
IPCopi uuendamine
IPCopi uuendused tulevad alati kiiresti, kui on avastatud mingi turvaauk. Kui te kasutate IPCop tulemüür, siis peaksite liituma IPCop-Announce maili listiga. Selle kaudu liiguvad eated paranduste ja uuenduste kohta. IPCopi on lihtne uuendada, System link Updates. Seal näete kõiki saadaolevaid uuendusi teie versioonile, seletavad mida nad teevad, ja näitavad kas oled nad juba installerinud või mitte.
IPCopi lisad
IPCopile on võimalik lisada erinevaid teiste poolte tehtud lisasid, mis pole niiöelda ametlikud, millega on võimalik teha lisa teenuseid [3]
Copfilter - viiruste tõrje e-mailidest
Banish - Lihtsalt blokeerib ligipääsu IP, CIDR, Domeeni ja MAC Aadressi põhiselt.
BlockOutTraffic (BOT)- blokeerib kogu liikluse mis muidu IPCopis lubatud
Varundus ja taastamine
Andmete asukohad
/var/ipcop/backup
Varundamise ja taastamise näited
Kõige lihtsam viis on varundada valides System > Backup Sealt Select Media ja varundada
Kasutatud materjal
www.ipcop.org