Ipcop: Difference between revisions
No edit summary |
|||
Line 190: | Line 190: | ||
*Arendada Linuxi alaseid teadmisi kõigis, nii projekti liikmete kui ka kasutajate hulgas. | *Arendada Linuxi alaseid teadmisi kõigis, nii projekti liikmete kui ka kasutajate hulgas. | ||
=Kokkuvõte= | |||
=Allikad= | =Allikad= | ||
Revision as of 22:24, 30 April 2010
Autor
- Sven Mäeks
- AK31
- smaeks@itcollege.ee
Sissejuhatus
Milleks tulemüüri üldse vaja on?
Tulemüür on filter, mis keelab, käsib, poob ja laseb pakette – väikesed pätsikesi, mille kujul internetis baite liigutatakse. Kui väljast tulev pakett ei vasta nõuetele, siis kuulub ta kustutamisele. Ning kui mõni väärt programm hakkab järsku ilma nähtava põhjuseta internetti tükkima, siis paneb tulemüür käe vahele: “Kus sa trügid?!”. Varem elutsesid tulemüürid peamiselt eraldi seadmetes - spetsiaalsetes tulemüürimasinates. Nüüd, kus internet ussitab juba üle igasuguse piiri, on tulemüür igas turvalises arvutis olemas. Enamik moodsaid operatsioonisüsteeme sisaldab oma koosseisus tulemüüri komponenti juba vaikimisi, sealhulgas Windows XP SP2, Mac OS X ja minu teada ka kõik Linuxi distributsioonid.Kuid pelgalt Windowsi vaikimisi tulemüüriga leppimine on kergema vastupanu teed minek. Nimelt on Windowsi tulemüür tsipa nõder. Seda näiteks põhjusel, et Windowsi tulemüür ei blokeeri väljuvaid ühendusi. Igaüks, kel piisavalt arvutialaseid teadmisi, võib korraldada vahva katse: kui kiiresti nakatub ilma aktiivse tulemüürita Windowsi masin esimesse viirusesse? Need, kes on proovinud, on tihti saanud tulemuseks umbes 10 sekundit. Seega ei ole tulemüür mitte mingi arvutinohkarite mänguasi, vaid miski, ilma milleta internetti minek on tänapäeval virtuaalne enesetapp.
Mis asi on IPCop ja mida sellega teha saab
IPCop on Linuxi põhine tulemüür. See on mõeldud kodukasutajatele ja SOHO (Small office/home office [28]) kasutajatele. IPCopi webi põhine GUI [29] kasutajaliides on väga kasutajasõbralik ja teeb kasutamise lihtsaks. IPCop on põhimõtteliselt omaette OP süsteem, millega saab muuta x86 masina tulemüüri seadmeks. Kuna süsteemi parameetrite mudimine käib läbi graafilise kasutajaliidese, siis ei ole kasutajatel vaja eelteadmisi Linuxist.
Igasugust infot IPCopi kohta võib leida siit [30]ja siit [31]
Mida IPCop sisaldab
Järgnevalt on toodud mõned omadused, mis IPCop sisaldab:
- Network Address Translation (NAT)[32]
- DHCP server [33]
- VPN server [34]
- Selget Web proxyt[35]
- Secure Shell (SSH)[36] ligipääsu
- Port forwarding [37]
- DMZ [38] seadistame
- Täpsed, hästi organiseeritud logid
- Intrusion Detection System (IDS)[39]
- Liikluse statistika ja graafika
Nõuded riistvarale
Minimaalsed nõuded oleks siis sellised:
- 300-MHz CPU
- 256 MB of RAM
- 5-GB kõvaketas
- Kaks võrgukaarti
Võrgu jagamine neljaks
IPCop-iga saad jagada oma võrgu erinevateks sektsioonideks:
- roheline -usaldusväärne sisevõrk
- oranz - DMZ
- punane - internet
- sinine - WIFI
Paigaldamine
Enamust Linuxi programme saab installida väga lihtsalt, näiteks nii:
apt-get install ipcop
IPCop-iga aga nii lihtsalt ei saa.
Allalaadimine
IPCopi saab alla laadida siit www.ipcop.org [40]. Seejärel tuleks teha ISO plaaditõmmis, et siis selle pealt saaks oma tulevast tulemüüri masinat käima tõmmata.
Paigaldamine
Kui kõik ettevalmistused on läinud plaanipäraselt, siis näeme ekraanil järgmist pilti.
Vajutame Enter, et alustada installimist. Esimese asjana saame valida keele.
Kuna me buudime ISO CD pealt, peame valima CDROM-i installi allikaks.
Järgmisena küsitakse üle, kas see on ikka õige kettamasiiv, kuhu IPCop hakkab oma partitsioone kirjutama.
Kui partitsioneerimine on lõppenud, küsitakse, kas soovid taastada IPCop süsteemi konfiguratsiooni (eelmisest paigaldamisest). Eeldame, et paigaldame IPCop-i esmakordselt, ja valime Skip.
Edasi on aeg alustada esialgse võrgu konfigureerimisega. Teil palutakse konfigureerida rohelise (sisevõrgustiku) liides. Kliki Probe.
Seejärel palutakse teil sisestada staatiline IP-aadress rohelise sektsiooni tarbeks.
Nüüd kõik vajalikud komponendid IPCop-il installitud, eemaldame CDROM-i, klõpsame nuppu OK.
Valime klaviatuuri (Eesti on ET) ja sobiva ajavööndi.
Paneme masinale nime. Soovitatav oleks vaikimisi -ipcop- ära muuta, et raskendada võimalike rünnete teostamist.
Järgmine on siis ISDN [41] konfiguratsioon hüpikmenüü. Seda on vaja ainult siis, kui sul on sisemine ISDN-kaart. Selles menüüs valime: Keela ISDN.
Nüüd oleme jõudnud võrgu seadistamise menüü juurde.
Siin siis võrgu seadistamine menüü jätk, valime GREEN + RED, et luua standard tulemüür, kus üks võrgukaart läheb sisevõrgule (roheline) ja teine adapter ühendub interneti (punane).
Seekord tuleb valida draiverid ja kaardi ülesanded.
Nüüd tuleks seadistada punase liidese konfiguratsiooni.
Kuna meil on staatiline IP-aadress, valime DNS ja gateway seaded.
Järgmisena siis DHCP Server Configuration dialoogiboks. IPCop võib olla DHCP server sisevõrgu jaoks. Kui soovime kasutada IPCopi kui DHCP serverit, siis vajutame lihtsalt tühikuklahvi ja valime Enabled, siis sisestame aadresside vahemiku, mida soovime kasutada ja täidame muud DHCP seaded.
Pärast DHCP serveri konfiguratsiooni, tuleb sisestada parool kolmele kasutajale: root, setup ja admin. Ruudul on juurdepääs konsoolile, setupil paigaldaminse menüüdele ja admini kontolt saab kasutada Web kasutajaliidest.
Kui paroolid on paigas, saame teate, et seadistamine on valmis. Klõpsa OK reboot IPCop server.
Pärast IPCop tulemüüri taaskäivitumist, kuuleme ainulaadset kolme piiksu, mis ütlevad, et meie IPCop on nüüd elus. Avame käsurea ja proovime sisevõrgust IPCop-i pingida. Kui pingib, siis kõik korras ja võime avada veebibrauseri ning ühenduda IPCop-iga Web-i põhise kasutajaliidesega. Võime ühendada HTTP või HTTPS ja sisestada IP-aadressi või hostinime, aga me pead lisama konkreetse pordi numbri (81 HTTP ja 445 HTTPS). Näiteks nii:
- http://ipcop:81
- https: / / ipcop: 445
- http://192.168.1.1:81
- https: / / 192.168.1.1:445
Kui oleme edukalt kõik etapid läbinud, siis näeme ekraanil sellist pilti.
Ja sedasi ongi meil 15 minuti jooksul valmis tulemüür, IPCop.
Seadistamine
Alustamiseks klikime Informationi linki vasakul menüüribal.Kui oleme sisestanud adminni kasutajanime ja parooli, näeme ekraanil IPCop-i osade staatuseid. Näeme, mis teenused töötavad ja mis ei tööta. Näiteks sellised teenused nagu IDS, DHCP, Web proxy, VPN ja SSH saame vajadusel välja lülitada. Ülejäänud peaksid alati olema sisse lülitatud.
Selline näeb välja võrgu liikluse graafik.
Web proxy seadistamine käib siis sellise ekraani peal.
Serice ekraanil, saame seadistada ka mitmeid teisi olulisi teenuseid. Nii näeb välja DHCP serveri parameetrite seadistamine.
Logi failid
Logi failid asuvad sellises kohas nagu:
/var/log/logwatch
Graafilist liidest kasutades vajutame Logs lingile, sealt avaneb järgmine vaade, kust saate valida millist logi soovite vaadata
- Kernel
- SSH
- IPsec
- DHCP server
Kui vajutame Web proxy linki, siis näeme nimekirja failidest mida IPCop-i proxy server on puhverdanud. Üks hea omadus on, et saame valida source IP järgi mis on puhverdatud ainult antud süsteemi poolt. See on kasulik ründe analüüsiks või mõne töötaja interneti kasutuse jälgimiseks.
Järgmiseks, klikime Firewall linki ja me näeme nimekirja pakettidest mida meie IPCop-i tulemüür on blokkinud.
Uuendamine
Õnneks on IPCop-i üsna lihtne uuendada. Klõpsame System linki vasakul menüüribal ja näemegi ekraanil uuendusi. Seal loetletakse üles kõik olemasolevad värskendused teie IPCop-i versioonile ja selgitatakse, mida nad teevad, ja näidatakse, kas need on installitud või mitte.
Kui peale uuenduste installimist on nõutav süsteemi taaskäivitamine, siis klikime reboot.
Lisad
IPCopile on võimalik lisada erinevaid mitteametlikke lisavidinaid, millega on võimalik lisada mõningast funktsionaalsust. [42]
Mõned näited:
- Copfilter - viiruste tõrje e-mailidest
- Banish - Lihtsalt blokeerib ligipääsu IP, CIDR, Domeeni ja MAC Aadressi põhiselt.
- BlockOutTraffic (BOT)- blokeerib kogu liikluse mis muidu IPCopis lubatud
IPCop missioon
- Luua stabiilne Linuxi tulemüüri distributsioon.
- Pakkuda turvalist Linuxi tulemüüri distributsiooni.
- Pakkuda vabavaralist Linuxi tulemüüri distributsiooni.
- Pakkuda väga mitmeti seadistatavat Linuxi tulemüüri distributsiooni.
- Pakkuda kergesti konfigureeritavat Linuxi tulemüüri distributsiooni.
- Pakkuda usaldusväärset toetust IPCop Linux kasutajaskonnaga.
- Pakkuda mõnusat keskkonda kus avalikult arutada ja paluda abi.
- Pakkuda stabiilset, turvalist ja lihtsalt rakendatavat uuendamiste ja vigade paikamist IPCopile.
- Luua ja säilitada pikaajalised suhteid meie kasutajatega.
- Püüda kohandada IPCop-i, et rahuldada Interneti vajadusi ka tulevikus.
- Arendada Linuxi alaseid teadmisi kõigis, nii projekti liikmete kui ka kasutajate hulgas.