FirewallBuilder: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Roim (talk | contribs)
Roim (talk | contribs)
Line 146: Line 146:
Ette hüppab uus aken, kus palutakse meil valida tulemüüri nimi (<i>firewall1</i>), tüüp (<i>iptables</i>) ja operatsioonisüsteem (<i>Linux 2.4/2.6</i>), millel antud tulemüür töötab.<br>
Ette hüppab uus aken, kus palutakse meil valida tulemüüri nimi (<i>firewall1</i>), tüüp (<i>iptables</i>) ja operatsioonisüsteem (<i>Linux 2.4/2.6</i>), millel antud tulemüür töötab.<br>
Märgime linnukesega, et soovime kasutada eelkonfigureeritud malle ning vajutame <b>Next</b><br>
Märgime linnukesega, et soovime kasutada eelkonfigureeritud malle ning vajutame <b>Next</b><br>
[[Image:Fwbuilder412.jpg]] <br><br>
[[Image:Fwbuilder412.jpg | 300px]] <br><br>
Valime omale sobiva malli, milleks antud juhul on <b>host fw template 1</b> ja vajutame <b>Next</b><br>
Valime omale sobiva malli, milleks antud juhul on <b>host fw template 1</b> ja vajutame <b>Next</b><br>
Paneme paika tulemüüri võrguliidese aadressi (antud näites kasutame staatilist aadressi) ning vajutame <b>Finish</b><br>
Paneme paika tulemüüri võrguliidese aadressi (antud näites kasutame staatilist aadressi) ning vajutame <b>Finish</b><br>
[[Image:Fwbuilder413.jpg]] <br><br>
[[Image:Fwbuilder413.jpg | 300px]] <br><br>
Tulemüüri objekt on nüüd loodud ning poliisi on lisatud esmased reeglid.<br>
Tulemüüri objekt on nüüd loodud ning poliisi on lisatud esmased reeglid.<br>
[[Image:Fwbuilder414.jpg]] <br><br>
[[Image:Fwbuilder414.jpg | 300px]] <br><br>
Vajutame nupule <b>Firewall settings</b> ning valime vahekaardi <b>Installer</b><br>
Vajutame nupule <b>Firewall settings</b> ning valime vahekaardi <b>Installer</b><br>
Määrame kausta kuhu tulemüüri skript paigutatakse (<i>/etc/fw</i>) ja kasutajanime, millega tulemüüri üle ssh sisse logime (<i>root</i>).<br>
Määrame kausta kuhu tulemüüri skript paigutatakse (<i>/etc/fw</i>) ja kasutajanime, millega tulemüüri üle ssh sisse logime (<i>root</i>).<br>
<b>Valitud kaust peab tulemüüri masinas olemas olema ning kasutajal peab olema parool.</b> Vajutame <b>OK</b>.<br>
<b>Valitud kaust peab tulemüüri masinas olemas olema ning kasutajal peab olema parool.</b> Vajutame <b>OK</b>.<br>
[[Image:Fwbuilder415.jpg]] <br><br>
[[Image:Fwbuilder415.jpg | 300px]] <br><br>
Firewall Builder'is on vaja iga tulemüüri jaoks määrata haldusliides. Selleks topeltklikk vastava liidese peal (meil eth0) ning linnuke valiku <b>Management interface</b> ette.<br>
Firewall Builder'is on vaja iga tulemüüri jaoks määrata haldusliides. Selleks topeltklikk vastava liidese peal (meil eth0) ning linnuke valiku <b>Management interface</b> ette.<br>
[[Image:Fwbuilder416.jpg]] <br><br>
[[Image:Fwbuilder416.jpg | 300px]] <br><br>
Firewall Builderi reeglite loomine töötab <i>drag-and-drop</i> põhimõttel ning kasutatavate objektide jaoks on 2 teeki: Standard ja User.<br>
Firewall Builderi reeglite loomine töötab <i>drag-and-drop</i> põhimõttel ning kasutatavate objektide jaoks on 2 teeki: Standard ja User.<br>
* User teek sisaldab kõiki kasutaja loodud objekte (nagu meie tulemüür)
* User teek sisaldab kõiki kasutaja loodud objekte (nagu meie tulemüür)
* Standard teek sisaldab enimlevinud teenuseid, porte ja aadressivahemikke
* Standard teek sisaldab enimlevinud teenuseid, porte ja aadressivahemikke
[[Image:Fwbuilder418.jpg]] <br><br>
[[Image:Fwbuilder418.jpg | 300px]] <br><br>
Hetkel on meie poliisis lubatud vajalikest teenustest vaid ssh. Lisame reeglid ka veebi- ja failiserveri jaoks.<br>
Hetkel on meie poliisis lubatud vajalikest teenustest vaid ssh. Lisame reeglid ka veebi- ja failiserveri jaoks.<br>
Selleks vajutame [[Image:Fwbuilder417.jpg]]<br>
Selleks vajutame [[Image:Fwbuilder417.jpg]]<br>
Poliisi lisati uus reegel, mis hetkel keelab kogu liikluse. Lohistame User teegist reeglisse liidese eth0 ning Standard teegist lisame teenused SMB ja NETBIOS. Otsimist lihtsustab <i>Filter</i> lahter, mis võimaldab teenuseid nime järgi otsida. Täpsemaks otsinguks on nupp <i>Find Object</i> (Ctrl+F). Suunaks määrame <i>Inbound</i> ning teguviisiks <i>Accept</i>.<br>
Poliisi lisati uus reegel, mis hetkel keelab kogu liikluse. Lohistame User teegist reeglisse liidese eth0 ning Standard teegist lisame teenused SMB ja NETBIOS. Otsimist lihtsustab <i>Filter</i> lahter, mis võimaldab teenuseid nime järgi otsida. Täpsemaks otsinguks on nupp <i>Find Object</i> (Ctrl+F). Suunaks määrame <i>Inbound</i> ning teguviisiks <i>Accept</i>.<br>
Lisame samal põhimõttel reegli ka veebiserveri jaoks (http ja https). Kui on vaja tulemüüri masinast ka ise veebi brausida tuleks seekord suunaks määrata <i>Both</i>.<br>
Lisame samal põhimõttel reegli ka veebiserveri jaoks (http ja https).<br>
Tulemüüri poliisi installeerimiseks peab tulemüüri olema võimalik sisse logida üle ssh. Vajutame <i>Install</i> ning paneme linnukesed valikute Compile ja Install juurde.<br>
Tulemüüri poliisi installeerimiseks peab tulemüüri olema võimalik sisse logida üle ssh. Vajutame <i>Install</i> ning paneme linnukesed valikute Compile ja Install juurde.<br>
[[Image:Fwbuilder419.jpg]] <br><br>
[[Image:Fwbuilder419.jpg]] <br><br>
Line 171: Line 171:
Ootame, kuni kompileerimine on lõpetatud ning vajutame <b>Next</b><br>
Ootame, kuni kompileerimine on lõpetatud ning vajutame <b>Next</b><br>
Sisestame parooli ja vajutame <b>Install</b><br>
Sisestame parooli ja vajutame <b>Install</b><br>
[[Image:Fwbuilder420.jpg]] <br><br>
[[Image:Fwbuilder420.jpg | 300px]] <br><br>
Ootame, kuni installeerimine on lõpetatud ning vajutame <b>Finish</b><br>
Ootame, kuni installeerimine on lõpetatud ning vajutame <b>Finish</b><br>
<br>
<br>

Revision as of 11:17, 1 December 2010

Artikli autorid ja versioneerimine

Nimi: Oliver Saarniit AK41
Nimi: Robert Õim A31
Nimi: Risto Piirisaar A31
Nimi: Kalev Vislapuu A31
Viimati muudetud: 30.11.2010

Versioon Lisatud   Kommentaar
0.1 20.01.2010     Artikli loomine
0.1.1 20.01.2010     Esialgne sisu sisestus
0.1.2 29.01.2010     Artikli täiendamine
0.1.3 30.01.2010     Valmis
0.1.4 20.11.2010     Uus skoop

Legend ja skoop

Tutvustada artikli lugejale graafilist tulemüüri rakendust Firewall Builder, seletada ja näidata tema eeliseid ning näidata tulemüüri installeerimist, kus tuleb lubada veebiserver, Open SSH ja Samba. Tulemüür peaks rakenduma arvuti alglaadimisel.

Eeldused

Käesolev juhend on testitud Ubuntu 10.04(lucid) Desktop, Firewall Builder v4.1.2(build 3346), iptables v1.4.4 .
Kasutaja peab oskama käsurida kasutada ja peab aru saama tulemüüride toimisest.

Sissejuhatus

Firewall Builder on graafiline tulemüüri rakendus, mille ülesandeks on lihtsustada erinevate tulemüüride rakendamist ja haldamist.

Versioon 4.1.2 toetab:

  • Linux iptables
  • Cisco ruuteri ACL-id
  • Cisco ASA/PIX
  • OpenBSD pf
  • FreeBSD ipfw
  • ipfilter
  • HP ProCurve ACL

Ja operatsioonisüsteeme mis teda toetavad:

  • FreeBSD
  • CISCO FWSM
  • Linksys/Sveasoft
  • Gnu/Linux(Kernel 2,4 and 2,6)
  • Mac OS X
  • Cisco PIX
  • Solaris
  • Windows

Firewall Builder

Fwbuilder on registreeritud firma SourceForge poolt 2000 aastal, ning iga järgmine aasta on seda programmi arendatud ja täiustatud. Programmi arendus toimub edasi ja koguaeg lisatakse programmile uusi võimalusi ja parandatakse turvaauke ja tehakse kasutajasõbralikumaks. Kui teil tekib Fwbuilderi kasutamisega probleem millega ise jagu i saa on kõige lihtsam minna programmi kodulehele ja sealt esitada küsimus teistele, kuda saan oma probleemi lahendada. Miks siis just kasutada Fwbuilder'it, mis kasu me sellest saame.
Plussid:

  • Hoiab kokku teie aega: Fwbuilder võimaldab genereerida keerulisi iptables'i konfiguratsioone. Sa ei pea meeles pidama igasugu detaile, nende süntakse ja sisemisi operatsioone. See hoiab kokku teie aega ja vähendab teiepoolt tehtavaid vigu. Fwbuilderiga valmis kirjutatud skriptid näevad välja samasugused mis oleks te valmis kirjutanud kui oleks kasutanud käsurida.
  • Kasuta uuesti juba tehtud skripte: Tee uus objekt mis esindab sinu võrku, serverit või servist ükskord valmis ja kasuta seda vajadusel nii mitu korda kui soovid. Sa ei pea kogu oma tulemüüri või ruuteri võrgustiku läbi otsima, et seda skripti leida ja parandada. Lihtsalt, vaheta ta objektiks, rekompileeri ja taaskäivita ning asi toimibki. Võid teha ka oma templaidid tulemüüri objektide ja reeglitega ning vajadusel kasutada neid.
  • Varajane vigade tuvastus: Annab varakult teada sinupoolt tehtud vigadest ning aitab sul juba algfaasis ära hoida väga palju igasugu erinevaid vigu.
  • Halda oma seadmeid kaugelt: Võimalus seadistada kaugelt oma seadmeid, alustades lihtsast ruuterist, lõpetades väga keerulistega seadmetega. Fwbuilder on loodud seadistama lokaalselt tulemüüri kui ka kaugelt hallatavalt tulermüüre.
  • Vabane oma vanadest progedest ja võta kasutusele ainult FWbuilder: Kui sa ennem kasutasid mitut erinevat programmi, ühega seadistasid windowsi tulemüüri, teisega linuxi iptables ja kolmandaga veel Cisco ruutereid, siis nüüd või nende programmide asemel kasutada ainult ühte programmi, milleks siis FWbuilder. Expordi vanadest programmidest konfifailid ning impordi nad FWbuilderisse.

Miinused:

  • Iga lisa rakendus, mis me oma arvutisse või serverisse installime on potensiaalne ohu allikas. Keegi võib ära kasutada selle rakenduse nõrkuse või veel parandamata turvaaugu ning meile sellega väga palju kahju teha.
  • Arvutisse peab olema installitud GUI.


Kasu

  • Aja kokkuhoid

Firewall Builder on projeteeritud nii,et tulemüüride haldamine oleks lihtsam ja tõhusam. Funktsioon nagu jaotatud objektid, pukseerimis graafiline kasutajaliides(drag-and-drop GUI) ja otsing ja asendus on kõik tehtud selleks ,et kasutaja ei peaks käske sisse toksima, vaid kesekenduks sellele, mis liiklust tulemüüri poliis lubab või keelab.

  • Tugi platvormidele

Tulemüüri käsurea süntaks või olla keeruline ja raske meelespidada. Isegi väiksese süntaksi muutuses erinevates versioonides samal seadmel ja isegi lihtsad muutused võivad võtta palju aega. Firewall Builder annab kasutajatele kergema mooduse luua keerulisi tulemüüri reegleid kasutades defineeritud graafilise kasutajaliidese objekte ja ei ole kogu aeg otsida õigeid käske.

  • Tee muutused ükskord

Firewall Builder põhineb kasutaja poolt defineeritud objektidest, mida saab korduvkasutada mitmetes tulemüüri poliisides, muudab muutused lihtasaks.Kui on vaja uuendada ip aadressi,siis lihtsalt muuda objekti ja kompileeri uuesti poliisid tulemüüris, mis seda kasutasid.

  • Vigade vähendamine

Firewall Builder’is on ühendatud reeglite analüüs ja süntaksi kontrollimne aitab vältida kulukaid vigu.Kompileerija genereerib reegleid alati õige sünaksiga.Seal on sisseehitatud kaitse ,mis aitab vältida tavalisi vigu nagu tulemüüri reegli uuendamine.

  • Väldi tarnija Lock-in’e

Seadme neutraalne tulemüüri poliis teeb lihtaks vahetada tulemüüri seadmeid.Reegleid saab kopeerida ühel seadmelt teisele ja Firewall Builder automaatselt muudab mida vaja ja arvestab uue sedame võimalustega.

  • Versioonitäiendamine kindlusega

Tulemüüri tarkvara uued versioonid toovad kaasa tavaliselt uued funktsioonid ja uute käskude süntaksite omandamise.Firewall Builder võtab ära piina versioonitäiednamisel, sellega ,et kasutajad saavad samu tulemüüri reegleid kasutada uuel seadme versioonil,ilma muutusi tegemata.

Installeerimine

Installeerimise eelduseks on järgnevate pakettide olemasolu hädavajalik:

  • libxml2 v2.4.10 või uuem
  • libxslt v1.0.7 või uuem
  • ucd-snmp või net-snmp
  • openssl
  • QT 4.3.x, 4.4.x Fwbuilder sõltub QT 4.3 or 4.4, it will not work with 4.2 (Qt™ on kasutajaliideste loomiseks kasutatav klassiteek, mille aluseks on C++, ta on väga võimas tööriistakomplekt, mis pakub kõike, mida läheb vaja moodsa kasutajaliidese loomiseks. )

Kui neist mõni pakett puudub teie arvutis, siis installige see.
{paketi nimi} pakett, mis hetkel puudu

sudo apt-get install {paketi nimi}

Nüüd, kui loetletud paketid on süsteemis olemas, alustame fwbuilderi paigaldamist.

apt-get update
apt-get install fwbuilder

Deb pakist installeerimine

Kasutades eel-loodud binaar-pakke,tuleb tõmmata ja installeerida kaks pakki:

  • Näide: libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
  • Näide: fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb

Sõltuvuste jaoks peab olema installeeritud järgnevad pakid:

  • QT 4.3.x, 4.4.x, 4.5.x, 4.6.x. Fwbuilder kasutab QT 4.3 või hilisemaid kättesaadavaid võimalusi ja ei tööta 4.2-ga.

Installeerida Firewall Builder-it tuleb minna kataloogikuhu tõmmati need kaks pakki ja sisestada järgnev käsk:

dpkg -i libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb \
	  fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb

Ubuntu pakiladu

Ligipääsuks Ubuntu stabiilsele pakile tuleb lisada järgnev käsk faili /etc/apt/sources.list(Olenevalt versioonist tuleb muuta "lucid" ära)

deb http://www.fwbuilder.org/deb/stable/ lucid contrib

Ligipääsuks Ubuntu stabiilsele pakile tuleb lisada järgnev käsk faili /etc/apt/sources.list

deb http://www.fwbuilder.org/deb/testing/ lucid contrib

Kui tahad ainult stabiilset versiooni,siis pole vaja mõlemat käsku faili /etc/apt/sources.list lisada.

Pakid ladudes on alla kirjutatud GPG võtmega.Tuleb tõmmata avalik võti ja lisada võtmeahelasse ,et verifitseerimaks paki terviklikust ladudes. Võtme lisamine Ubuntu-le,tuleb sisestada käsk:

wget http://www.fwbuilder.org/PACKAGE-GPG-KEY-fwbuilder.asc
apt-key add PACKAGE-GPG-KEY-fwbuilder.asc

Peale seda peaks saama installeerida juba käsuga:

apt-get install fwbuilder libfwbuilder 

Seadistamine

Käivitame Firewall Builderi kas käsurealt, sisestades

fwbuilder

või System -> Administraton -> Firewall Builder

Valime Create new firewall
Ette hüppab uus aken, kus palutakse meil valida tulemüüri nimi (firewall1), tüüp (iptables) ja operatsioonisüsteem (Linux 2.4/2.6), millel antud tulemüür töötab.
Märgime linnukesega, et soovime kasutada eelkonfigureeritud malle ning vajutame Next


Valime omale sobiva malli, milleks antud juhul on host fw template 1 ja vajutame Next
Paneme paika tulemüüri võrguliidese aadressi (antud näites kasutame staatilist aadressi) ning vajutame Finish


Tulemüüri objekt on nüüd loodud ning poliisi on lisatud esmased reeglid.


Vajutame nupule Firewall settings ning valime vahekaardi Installer
Määrame kausta kuhu tulemüüri skript paigutatakse (/etc/fw) ja kasutajanime, millega tulemüüri üle ssh sisse logime (root).
Valitud kaust peab tulemüüri masinas olemas olema ning kasutajal peab olema parool. Vajutame OK.


Firewall Builder'is on vaja iga tulemüüri jaoks määrata haldusliides. Selleks topeltklikk vastava liidese peal (meil eth0) ning linnuke valiku Management interface ette.


Firewall Builderi reeglite loomine töötab drag-and-drop põhimõttel ning kasutatavate objektide jaoks on 2 teeki: Standard ja User.

  • User teek sisaldab kõiki kasutaja loodud objekte (nagu meie tulemüür)
  • Standard teek sisaldab enimlevinud teenuseid, porte ja aadressivahemikke



Hetkel on meie poliisis lubatud vajalikest teenustest vaid ssh. Lisame reeglid ka veebi- ja failiserveri jaoks.
Selleks vajutame
Poliisi lisati uus reegel, mis hetkel keelab kogu liikluse. Lohistame User teegist reeglisse liidese eth0 ning Standard teegist lisame teenused SMB ja NETBIOS. Otsimist lihtsustab Filter lahter, mis võimaldab teenuseid nime järgi otsida. Täpsemaks otsinguks on nupp Find Object (Ctrl+F). Suunaks määrame Inbound ning teguviisiks Accept.
Lisame samal põhimõttel reegli ka veebiserveri jaoks (http ja https).
Tulemüüri poliisi installeerimiseks peab tulemüüri olema võimalik sisse logida üle ssh. Vajutame Install ning paneme linnukesed valikute Compile ja Install juurde.


Vajutame Next
Ootame, kuni kompileerimine on lõpetatud ning vajutame Next
Sisestame parooli ja vajutame Install


Ootame, kuni installeerimine on lõpetatud ning vajutame Finish

Et tulemüür võtaks automaatselt meie poliisi igal alglaadimisel kasutusele, muudame /etc/rc.local faili

nano /etc/rc.local

Lisame oma tulemüüriskripti asukoha

/etc/fw/firewall1.fw

Varundamine

Meie näites tuleks varundada kaks faili, tulemuur.fwb ja tulemuur.fw. Failid .fwb lõpuga on fwbuilderi konfiguratsiooni failid, neid saab fwbuilderis vajadusel muuta ning vajadusel uuesti kompileerida meile vajalikuks .fw faili lõpuga tulemüüriks. Et varundamine oleks võimalikult lihtne on soovitav neid faile hoida ühes kindlas kataloogis. Need failid on soovitav kopeerida näiteks mälupulgale või või teisele kettale, kust te need vajadusel kiiresti kätte saate.