FirewallBuilder
Artikli autor ja versioneerimine
Nimi: Oliver Saarniit AK41
Nimi: Robert Õim A31
Nimi: Risto Piirisaar A31
Nimi: Kalev Vislapuu A31
Viimati muudetud: 20.11.2010
Versioon Lisatud Kommentaar 0.1 20.01.2010 Artikli loomine 0.1.1 20.01.2010 Esialgne sisu sisestus 0.1.2 29.01.2010 Artikli täiendamine 0.1.3 30.01.2010 Valmis 0.1.4 20.11.2010 Uus skoop
Legend ja skoop
Tutvustada artikli lugejale graafilist tulemüüri rakendust Firewall Builder, seletada ja näidata tema eeliseid ning näidata tulemüüri installeerimist, kus tuleb lubada veebiserver, Open SSH ja Samba. Tulemüür peaks rakenduma arvuti alglaadimisel.
Sissejuhatus
Firewall Builder on graafiline tulemüüri rakendus, mille ülesandeks on kontrollida arvutisse tulevaid ja sealt väljuvaid võrgu ühendusi ning vastavalt talle kehtestatud reeglitele need kas läbi lubada või keelata. See töö on küllaltki keeruline, kuna jälgides kõiki informatsioonivooge nii sise-kui välisvõrgu vahel peab vahel suutma kiiresti otsustama, millised neist infopakettidest on pahatahtlikud ja millised lubatavad.
Fwbuilder võimaldad lihtsamalt ja kasutaja sõbralikumalt seadistada mitmeid tulemüüri rakendusi erinevates operatsiooni süsteemides. Versioon 3.0 toetab:
- FWSM
- Ipfilter
- Ipfw
- Iptables
- PF
- PIX
Ja operatsioonisüsteeme mis teda toetavad:
- FreeBSD
- CISCO FWSM
- Linksys/Sveasoft
- Gnu/Linux(Kernel 2,4 and 2,6)
- Mac OS X
- Cisco PIX
- Solaris
- Window
Firewall Builder
Fwbuilder on registreeritud firma SourceForge poolt 2000 aastal, ning iga järgmine aasta on seda programmi arendatud ja täiustatud. Programmi arendus toimub edasi ja koguaeg lisatakse programmile uusi võimalusi ja parandatakse turvaauke ja tehakse kasutaja sõbralikumaks.
Kui teil tekib Fwbuilderi kasutamisega probleem millega ise jagu i saa on kõige lihtsam minna programmi kodukale ja sealt esitada küsimus teistele, kuda saan oma probleemi lahendada.
Miks siis just kasutada Fwbuilder'it, mis kasu me sellest saame.
Plussid:
- Hoiab kokku teie aega: Fwbuilder võimaldab genereerida keerulisi iptables'i konfiguratsioone. Sa ei pea meeles pidama igasugu detaile, nende süntakse ja sisemisi operatsioone. See hoiab kokku teie aega ja vähendab teiepoolt tehtavaid vigu. Fwbuilderiga valmis kirjutatud skriptid näevad välja samasugused mis oleks te valmis kirjutanud kui oleks kasutanud käsurida.
- Kasuta uuesti juba tehtud skripte: Tee uus objekt mis esindab sinu võrku, serverit või servist ükskord valmis ja kasuta seda vajadusel nii mitu korda kui soovid. Sa ei pea kogu oma tulemüüri või ruuteri võrgustiku läbi otsima, et seda skripti leida ja parandada. Lihtsalt, vaheta ta objektiks, rekompileeri ja taaskäivita ning asi toimibki. Võid teha ka oma templaidid tulemüüri objektide ja reeglitega ning vajadusel kasutada neid.
- Varajane vigade tuvastus: Annab varakult teada sinupoolt tehtud vigadest ning aitab sul juba algfaasis ära hoida väga palju igasugu erinevaid vigu.
- Halda oma seadmeid kaugelt: Võimalus seadistada kaugelt oma seadmeid, alustades lihtsast ruuterist, lõpetades väga keerulistega seadmetega. Fwbuilder on loodud seadistama lokaalselt tulemüüri kui ka kaugelt hallatavalt tulermüüre.
- Vabane oma vanadest progedest ja võta kasutusele ainult FWbuilder: Kui sa ennem kasutasid mitut erinevat programmi, ühega seadistasid windowsi tulemüüri, teisega linuxi iptables ja kolmandaga veel Cisco ruutereid, siis nüüd või nende programmide asemel kasutada ainult ühte programmi, milleks siis FWbuilder. Expordi vanadest programmidest konfifailid ning impordi nad FWbuilderisse.
Miinused:
- Iga lisa rakendus, mis me oma arvutisse või serverisse installime on potensiaalne ohu allikas. Keegi võib ära kasutada selle rakenduse nõrkuse või veel parandamata turvaaugu ning meile sellega väga palju kahju teha.
- Arvutisse peab olema installitud GUI.
Eeldused
Käesolev juhend on testitud Ubuntu 10.04(lucid) Desktop ,Firewall Builder v4.1.2(build 3346), iptables v1.4.4 .
Kasutaja peab oskama käsurida kasutada ja peab arusaama tulemüüride toimisest.
Installeerimine
Instaleerimise eelduseks on järgnevate pakettide olemasolu hädavajalik:
- libxml2 v2.4.10 või uuem
- libxslt v1.0.7 või uuem
- ucd-snmp või net-snmp
- openssl
- QT 4.3.x, 4.4.x Fwbuilder sõltub QT 4.3 or 4.4, it will not work with 4.2 (Qt™ on kasutajaliideste loomiseks kasutatav klassiteek, mille aluseks on C++, ta on väga võimas tööriistakomplekt, mis pakub kõike, mida läheb vaja moodsa kasutajaliidese loomiseks. )
Kui neist mõni pakett puudub teie arvutis, siis installige see.
{paketi nimi} pakett, mis hetkel puudu
sudo apt-get install {paketi nimi}
Nüüd, kui loetletud paketid on süsteemis olemas, alustame fwbuilderi paigaldamist.
apt-get update apt-get install fwbuilder
Kasutades eel-loodud binaar-pakke,tuleb tõmmata ja installeerida kaks pakki
Näide: libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
Näide: fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
Sõltuvuste jaoks peab olema installeeritud järgnevad pakid:
QT 4.3.x, 4.4.x, 4.5.x, 4.6.x. Fwbuilder kasutab QT 4.3 või hilisemaid kättesaadavaid võimalusi ja ei tööta 4.2-ga.
Installeerida Firewall Builder-it tuleb minna kataloogikuhu tõmmati need kaks pakki ja sisestada järgnev käsk:
dpkg -i libfwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb \ fwbuilder_4.1.2-b3346-ubuntu-lucid-1_amd64.deb
Ubuntu pakkiladu
Ligipääs Ubuntu stabiilsele pakile,tuleb lisada järgneb käsk faili /etc/apt/sources.list(Oleneb versioonist tuleb muuta "lucid" ära)
deb http://www.fwbuilder.org/deb/stable/ intrepid lucid
Ligipääs testimises olevale pakkile siis lisada käsk faili /etc/apt/sources.list
deb http://www.fwbuilder.org/deb/testing/ intrepid lucid
Kui tahad ainult stabiilset versiooni,siis pole vaja mõlemat käsku faili /etc/apt/sources.list lisada.
Pakid ladudes on alla kirjutatud GPG võtmega.Tuleb tõmmata avalik võti ja lisada võtmeahelasse ,et verifitseerimaks paki terviklikust ladudes. Võtme lisamine Ubuntu-le,tuleb sisestada käsk
wget http://www.fwbuilder.org/PACKAGE-GPG-KEY-fwbuilder.asc apt-key add PACKAGE-GPG-KEY-fwbuilder.asc
Näide.
Kasutame fwbuilderit ja teeme endale tulemüüri. Tulemüür peab lubama väljast poolt arvutit pingida ja arvutiga saab ühendust ainult läbi SSH, kõik ülejäänu piirame. Siin näites sisemist liiklust piirama ei hakka. Mida peame selleks tegema? Et algul asi väga keeruliseks ei läheks, kasutame Firewall Builderi wizardit, mis aitab meil koostada tulemüüri reegleid.
- Teeme tulemüüri
- Paneme paika reegild
- Kompileerime ning salvestame oma tulemüüri seadistused
- Kustutame iptables varasemad seadmed
- Peale arvuti taaskäivitamist võetakse meie tehtud tulemüür automaatselt kasutusele
- Varundame vajalikud conf failid.
Teeme tulemüüri
Käivitmae fwbuilderi kas konsooli realt, sisestades käsu fwbuilder, või klikates hiirega fwbuilderi ikoonil.
Fwbuideri käivitamisel tuleb meile ette tervitusaken, kus antakse meile igasugu juhised kuidas seda programmi paremini kasutada, sulge see aken. Valime New Object ja valime New Firewall.(vaata pilti)
Ette hüppab uus aken, kus palutakse meil valida:
Esimeses aknas palutakse sisestada uue tulemüüri nimi, näites tulemuur
Teiseses aknas, küsitakse mis tulemüüri rakendus kasutame, meil iptables
Kolmandas lahtris palutakse määrata mis operatsiooni süsteemi kasutate, meil Linux 2.4/2.6
Paneme kasti linnukese, et saaks valida template'sid ning vajutame NEXT.
Tuli ette aken kus pakutakse juba valmislahendusi ehk template.
Valime host of template (vaata pilti)
Vajuta NEXT
Logi failist näeme, et tekitati fail nimega tulemuur.fwb, mis siis ongi hetkel meil tulemüür.
Avame konsooli akna ja kirjutame järgmised read:
sudo -i
Sisestame salasõna Hetkel veel meil on tulemüüri eest iptables. Vaatame, mis on iptables'is lubatud ja mis keelatud.
iptables -L
Kustutame reeglikogu reeglid ja reeglikogu ise
iptables -F iptables -X
Nüüd kui vaatame iptablesi sisu
iptables -L
Peab olema kõik tühi nagu järgmisel pildil näha.
Laseme nüüd oma tulemüüri skripti käima
[oliver] teie kasutaja kodukataloog
/home/[oliver]/tulemuur.fw
Kui kõik OK antakse teile teada, et tulemüüri skript on OK ja võeti kasutusele.
Vaatame iptables'i sisse
iptables -L
Enam ei tohiks olla tühi nagu ennem.
Et arvuti võtaks automaatselt meie tulemüüri kasutusele, kirjutame järgmised read
vim /etc/rc.local
faili järgmise rea
/home/[oliver]/tulemuur.fw
Salvestama faili, teeme arvutile restardi ja asi toimib.
Varundamine
Meie näites tuleks varundada kaks faili, tulemuur.fwb ja tulemuur.fw. Failid .fwb lõpuga on fwbuilderi konfiguratsiooni failid, neid saab fwbuilderis vajadusel muuta ning vajadusel uuesti kompileerida meile vajalikuks .fw faili lõpuga tulemüüriks. Et varundamine oleks võimalikult lihtne on soovitav neid faile hoida ühes kindlas kataloogis. Need failid on soovitav kopeerida näiteks mälupulgale või või teisele kettale, kust te need vajadusel kiiresti kätte saate.