IPFire-Installation und -Konfiguration: Linux Firewall for Business

IPFire ist ein Betriebssystem, das nur sehr wenige Ressourcen verbraucht. Es kann praktisch auf jedem aktuellen Computer verwendet werden. Logischerweise hängt die Leistung, die wir erzielen, von der verwendeten Hardware ab. Dasselbe passiert, wenn wir Tausende von Regeln in der Firewall haben und auch installieren ein System zur Erkennung und Verhinderung von Eindringlingen. Je nach unseren Anforderungen benötigen wir bessere oder schlechtere Hardware.

Merkmale

Das Hauptziel des IPFire-Betriebssystems besteht darin, Sicherheit in privaten und geschäftlichen Umgebungen zu bieten. Die Firewall-Engine ist sehr einfach zu konfigurieren und das IDS verhindert, dass Angreifer in das Netzwerk eindringen, und verhindert das Eindringen. In der IPFire-Konfiguration müssen wir das Netzwerk in mehrere Zonen aufteilen. Diese Zonen haben standardmäßig unterschiedliche Sicherheitsrichtlinien, die wir später detailliert konfigurieren können. Zum Beispiel haben wir Zonen für das Internet WAN, LAN, DMZ und auch W-Lan. Ein weiterer Punkt für IPFire sind die kontinuierlichen Updates, die in einer Firewall unerlässlich sind, da sie dem Internet ausgesetzt sind. Daher sind Aktualisierungen des Betriebssystems selbst und der Erweiterungen unerlässlich, um Sicherheitslücken zu vermeiden.

Firewall und IDS / IPS

IPFire verwendet eine SPI-Firewall (Stateful Packet Inspection), die auf IPtables basiert, der beliebten Linux-Firewall. Diese Software ermöglicht eine schnelle Paketfilterung und kann je nach Hardware Bandbreiten von mehr als 10 Gbit / s bereitstellen. Dank der grafischen Benutzeroberfläche können wir Gruppen von Hosts und Netzwerken erstellen, um später kurze und geordnete Regeln auf sie anzuwenden. Dies ist wichtig, um zu wissen, was wir filtern, und um die Regeln beizubehalten. Natürlich verfügt diese Firewall-orientierte Distribution über grafische Berichte und erweiterte Protokolle, um alles zu erfahren, was im System geschieht.

Mit IPFire können wir die Firewall so konfigurieren, dass Denial-of-Service-Angriffe gemindert und blockiert werden, indem wir sie direkt in der Firewall selbst filtern, ohne die Server zu erreichen, um unseren Webdiensten, FTP, eine sehr wichtige Schutzschicht hinzuzufügen. E-Mail und andere. . Dank seines fortschrittlichen IDS / IPS (Intrusion Detection System und Intrusion Prevention System) analysiert IPFire natürlich den gesamten Netzwerkverkehr und kann Hunderte von Arten von Netzwerkangriffen, Informationslecks und anderen erkennen. verdächtige Netzwerkaktivität.

VPN

Heutzutage sind virtuelle private Netzwerke sehr wichtig, um entfernte Standorte über das Internet und sicher miteinander zu verbinden. IPFire enthält verschiedene Arten von VPN, einschließlich IPSec-VPN und auch OpenVPN, ideal für die Zusammenarbeit mit Firewall-Herstellern wie Cisco, Juniper, Mikrotik, D-Link und allen, die die Standards verwenden. Dank der Integration von OpenVPN können Remotebenutzer eine Verbindung zum Büro herstellen, als wären sie physisch dort, und dies alles auf sichere Weise, da die gesamte Kommunikation Ende-zu-Ende verschlüsselt ist.

Weitere Merkmale

IPFire enthält eine große Anzahl von Funktionen professioneller Router und professioneller Firewalls. Einige der wichtigsten zusätzlichen Funktionen sind die Möglichkeit, einen Proxyserver auf erweiterte Weise zu konfigurieren. Ein DHCP-Server enthält einen Domänennamen-Cache, einen NTP-Server für Zeit und WoL (Wake) ON LAN), DDNS-Server, erweiterte QoS, eine vollständige Aufzeichnung aller Ereignisse, die im Betriebssystem auftreten usw.

Eine der wichtigsten Funktionen ist die Möglichkeit, Erweiterungen zu installieren. Dank dieser zusätzlichen Software können wir die Funktionen dieser professionellen Firewall erweitern. Einige der beliebtesten Erweiterungen sind:

• Netzwerk-Dateiserver mit Samba und NFS.
• Netzwerkdruckerserver.
• Sternchen für eine VoIP-Telefonzentrale.
• Teamspeak.
• Videorecorder-Server.
• Mailserver und Antispam.
• Antivirenserver mit ClamAV-Engine.
• Streaming-Server.
• Tor, um anonym im Internet zu surfen
• Weitere Plugins, die sein können direkt aus dem Haupt-Wiki heruntergeladen auf Ihrer Website.

IPFire kann auch funktionieren ARM Architektur, so dass es unter so interessanten Geräten wie einem arbeiten kann Raspberry Pi oder ähnliche Geräte. Es kann auch auf Amazon installiert werden Cloud IPFire in der Cloud zu haben und dass die gesamte Kommunikation über VPN funktioniert.

Laden Sie IPFire herunter und installieren Sie es

Das Herunterladen und Verwenden von IPFire ist völlig kostenlos. Gehen Sie einfach auf die offizielle Website und direkt auf die Registerkarte "Download". In diesem Abschnitt müssen wir die Architektur unserer Geräte auswählen. Normalerweise handelt es sich um eine X86_64-Architektur. Wenn Sie jedoch eine ARM-Architektur verwenden, müssen Sie die entsprechende Architektur installieren, die sich direkt darunter befindet. Sobald wir uns im Download-Bereich befinden, laden wir das „ISO-Image“ herunter, um es von einer CD oder einem Pendrive zu laden. Als bootfähiges Betriebssystem können wir jede Software verwenden, um es später zu starten.

Sobald wir es heruntergeladen haben, können wir es auf eine CD brennen, auf einen bootfähigen USB-Stick kopieren usw. In unserem Fall werden wir IPFire in einer virtuellen Maschine mit VMware installieren, damit Sie sehen können, wie es installiert wird eine virtuelle Methode und testen Sie es in einer kontrollierten Testumgebung, um es später in die Produktion zu verschieben. In dieser Testumgebung erstellen wir zwei Netzwerkkarten, eine im Bridge-Modus, um eine echte Verbindung zum lokalen Netzwerk herzustellen, und eine im Nur-Host-Modus, um von unserem Computer aus über das Internet auf die IPFire-Verwaltung zugreifen zu können, ohne davon abhängig zu sein vom lokalen Netzwerk.

Konfiguration der virtuellen Maschine in VMware

In unserem Fall werden wir VMware Workstation 15.5 PRO verwenden, aber jede Version würde verwendet, um dieses Firewall-orientierte Betriebssystem zu installieren. Das erste, was wir beim Öffnen von VMware tun müssen, ist auf "Neue virtuelle Maschine erstellen" zu klicken, wie Sie auf dem folgenden Bildschirm sehen können:

Im VM-Konfigurationsassistenten müssen wir das IPFire-ISO-Image auswählen und auswählen, dass das Betriebssystem ein Linux ist, auf dem basiert Ubuntu 64bit, obwohl Sie auch eine neueste Debian-Version wählen könnten, wird es trotzdem funktionieren. Im nächsten Menü wählen wir den Pfad der VM, die für die virtuelle Maschine reservierte Festplatte, und schließlich sehen wir eine Zusammenfassung der gesamten Hardware, die diese virtuelle Maschine, die wir erstellen werden, haben wird.

Bevor Sie fertig sind, müssen Sie auf "Hardware anpassen" klicken, um eine zusätzliche Netzwerkkarte hinzuzufügen und die Netzwerkkarten korrekt zu konfigurieren.

Unabhängig von der Anzahl der CPUs und Kerne (wir empfehlen 1 CPU und 2 Kerne) und RAM (Wir empfehlen mindestens 2 GB), müssen wir eine zweite Netzwerkkarte hinzufügen, da wir das Internet-WAN (Netzwerk) und das LAN (grün) haben. Wir klicken auf "Hinzufügen" und klicken auf "Hinzufügen"Netzwerk Adapter “, um es hinzuzufügen.

Sobald wir die beiden hinzugefügt haben, müssen wir sie wie folgt konfigurieren:

• Adapter 1: Benutzerdefiniertes VMnet1 (nur Host)
• Adapter 2: Brücke (automatisch)

Als nächstes können Sie sehen, wie diese Konfiguration aussehen würde.

Im Windows Unter Betriebssystem 10 müssen wir unter „Systemsteuerung / Netzwerk- und Freigabecenter / Adapterkonfiguration ändern“ die IP-Adresse in VMware-Netzwerkadapter VMnet1 ändern und die IP 192.168.1.2/24 eingeben, wie Sie unten sehen können. Klicken Sie anschließend auf Akzeptieren und Akzeptieren, um das Konfigurationsmenü zu verlassen.

Sobald wir alles auf der Ebene der virtuellen Maschine konfiguriert haben, können wir die virtuelle Maschine ausführen, um mit der Installation zu beginnen.

IPFire auf VMware installieren

Wenn wir die virtuelle Maschine starten, sehen wir ein sehr einfaches Installationsmenü über die grafische Benutzeroberfläche. Wir müssen die erste Option „IPFire 2.25 installieren“ auswählen oder einfach einige Sekunden warten, da sie nach Ablauf dieser Zeit automatisch ausgeführt wird

Sobald die Installation dieses Betriebssystems beginnt, müssen wir die Installationssprache definieren. Wir haben Spanisch zur Verfügung, damit wir keine Probleme mit der Sprache haben. Als nächstes werden wir zur Installation eingeladen und wir haben eine Schaltfläche, um mit der Installation zu beginnen. Durch die verschiedenen Menüs müssen wir uns mit der Registerkarte, der Leertaste, um Optionen auszuwählen, und mit der «Eingabetaste» für die OK- oder Abbrechen-Schaltflächen bewegen.

In diesen Menüs wird auch angezeigt, dass die Festplatte, die wir haben, mit allen Daten gelöscht wird. Wir müssen das Installationsdateisystem auswählen. Es wird empfohlen, EXT4 zu verwenden, was unter Linux-Betriebssystemen am typischsten ist. Sobald wir es ausgewählt haben, wird das Betriebssystem installiert und in weniger als einer Minute wird es verfügbar sein. Als nächstes wird uns mitgeteilt, dass es erfolgreich installiert wurde und dass IPFire neu gestartet werden muss. Nach dem Neustart wird der Computer erneut gestartet und der Installationsassistent wird weiter ausgeführt.

In den folgenden Menüs müssen wir den Tastaturtyp, die Zeitzone, den Hostnamen des IPfire selbst und auch den Domänennamen des Betriebssystems auswählen.

Als nächstes müssen wir sowohl das Root-Passwort als auch das Admin-Passwort eingeben, das Root-Passwort wird für den Zugriff auf die Konsole oder SSH verwendet und das Admin-Passwort für die grafische Benutzeroberfläche. Ein sehr wichtiges Detail ist, dass bei Eingabe des Kennworts in das Kennwortfeld der Schlüssel nicht angezeigt wird, auch nicht mit Sternchen. Wir müssen ihn aus Sicherheitsgründen „blind“ machen, um zu verhindern, dass andere Benutzer die Länge des Schlüssels sehen.

Das IPFire-Hauptkonfigurationsmenü enthält insgesamt vier Optionen, die wir konfigurieren müssen, um mit dem Firewall-orientierten Betriebssystem arbeiten zu können:

• Art der Netzwerkkonfiguration : hier müssen wir zwischen GRÜN + ROT, GRÜN + ROT + ORANGE, GRÜN + ROT + BLAU, GRÜN + ROT + ORANGE + BLAU wählen. Das Normalste ist, GRÜN + ROT zu haben, ohne DMZ oder irgendetwas, aber später können wir es ohne Probleme im Betriebssystem selbst konfigurieren. In diesem Tutorial erfahren Sie, wie Sie dies mit GREEN + RED tun, dh mit zwei Netzwerkschnittstellen.
• Zuordnung von Controllern und Karten : Wir müssen die Netzwerkkarten ihren jeweiligen GRÜNEN und ROTEN Schnittstellen zuweisen. Es ist wichtig, dass wir die Netzwerkkarte in der Bridge RED und die Netzwerkkarte in vmnet1 GREEN zuweisen.
• Adresse Konfiguration: Wir konfigurieren den DHCP-Server in GRÜN und den Internetverbindungsmodus in NETZWERK.
• Gateway-Einstellungen : Diese Option wird nur verwendet, wenn wir in NETWORK eine feste IP haben.

Als erstes wählen wir den Typ der Netzwerkkonfiguration GRÜN + ROT aus. Dann müssen wir GRÜN eingeben und die Netzwerkkarte auswählen.

Wie können wir feststellen, welche VMware-Karte sich im Bridge-Modus oder in vmnet1 befindet? Mit der MAC-Adresse können wir auf diese Weise die Karten den verschiedenen GRÜNEN und ROTEN Netzwerken korrekt zuordnen. In VMware klicken wir auf «Einstellungen für virtuelle Maschinen», wählen eine Netzwerkkarte aus und klicken unten rechts auf «Erweitert…». Hier erhalten wir die MAC-Adresse, in unserem Fall entspricht die erste GRÜN und die zweite ROT (standardmäßig müssen wir nur die MAC einer der Karten kennen).

Sobald wir sie zugewiesen haben, werden sie wie folgt angezeigt:

In dem " Adresskonfiguration In diesem Abschnitt müssen wir das LAN der GRÜNEN Schnittstelle und die Internetkonfiguration der ROTEN Schnittstelle konfigurieren. Als Nächstes sehen Sie alle Menüs. In unserem Fall haben wir das LAN mit der IP 192.168.1.1 konfiguriert, um über die zuvor in VMnet192.168.1.2 konfigurierte 1-Schnittstelle darauf zuzugreifen.

In den „Gateway-Einstellungen“ müssen wir nichts eingeben, es sei denn, Sie haben eine feste IP in der ROTEN Schnittstelle. Als nächstes erfahren wir, ob wir den DHCP-Server aktivieren möchten, wir können ihn aktivieren und konfigurieren, aber später können wir ihn auch problemlos konfigurieren. Sobald wir es abgeschlossen haben, zeigt es an, dass die Installation abgeschlossen ist.

Sobald wir den Assistenten abgeschlossen haben, startet das Betriebssystem automatisch mit allen angewendeten Einstellungen und wir können uns über die Konsole mit dem Root-Benutzer anmelden. Wenn Sie über das Web zugreifen möchten, müssen Sie Folgendes in die Adressleiste eingeben: https://192.168.1.1:444. Es ist sehr wichtig, dass wir Port 444 unabhängig von Ihrer privaten IP-Adresse mit HTTPS verbinden haben.

Sobald wir es installiert haben, zeigen wir Ihnen jetzt die verfügbaren Hauptkonfigurationsmenüs.

IPFire-Verwaltungsoptionen

Um über das Web auf das IPFire-Betriebssystem zugreifen zu können, müssen wir die folgende URL in die Adressleiste des Browsers eingeben: https://192.168.1.1:444 Wenn wir eine andere IP-Adresse ausgewählt haben, können wir so lange eingeben da wir HTTPS und den vorkonfigurierten Port 444 verwenden. Natürlich erkennen Webbrowser, dass das digitale Zertifikat nicht erkannt wird. Wir klicken auf Zugriff auf die Website und fügen die Ausnahme hinzu.

Sobald wir das IPFire-Zugangskennwort eingegeben haben, greifen wir auf das Hauptmenü des Betriebssystems zu. Im Hauptmenü sehen wir die Internet NETWORK-Schnittstelle sowie das LAN (GRÜN) und dessen Konfiguration. In der oberen Leiste finden Sie die verschiedenen Menüs und Konfigurationen, die wir ausführen können.

Im Abschnitt "System" können wir auf den E-Mail-Dienst, den SSH-Zugriff, die Konfigurationssicherung, die grafischen Benutzeroberflächenkonfigurationen und Systeminformationen zugreifen, wenn Schwachstellen in der Hardware vorliegen, und das Betriebssystem ausschalten.

Im Teil „Status“ sehen wir den Status des Systems, des Speichers, der Dienste, der physischen Medien, der externen und internen Netzwerkoptionen, der Netzwerkoptionen (andere), den Status von OpenVPN, Hardwaregrafiken, Entropie, Verbindungen, Internet Verkehr und mdstat. Das heißt, von hier aus können wir den globalen Status des Betriebssystems sehen. Im Abschnitt "Netzverkehr" sehen wir beispielsweise ein Diagramm mit Internetverkehr in Echtzeit und im Abschnitt "Verbindungen" alle hergestellten Verbindungen mit vielen verfügbaren Anzeigeoptionen.

Im Abschnitt "Netzwerk" können wir die verschiedenen Netzwerkzonen konfigurieren und konfigurieren DNS, Webproxy, Inhaltsfilterung, DHCP-Server, Captive-Portal, Hosts bearbeiten, DNS-Weiterleitung, statische Routen konfigurieren, WoL und andere Konfigurationsoptionen.

Dieses Firewall-orientierte Betriebssystem verfügt über zwei Arten von VPN, sowohl IPsec mit unterschiedlichen erweiterten Einstellungen als auch OpenVPN. Natürlich haben wir die Möglichkeit, das NTP so zu konfigurieren, dass alle Computer nach der Uhrzeit dieser Firewall fragen.

Weitere verfügbare Optionen sind die Konfiguration der QoS sowie die Möglichkeit, externe Laufwerke entweder über USB oder direkt mit SATA3 im Server hinzuzufügen.

Im Abschnitt "Firewall" haben wir die Möglichkeit, alle Regeln zu konfigurieren. IPFire basiert auf iptables und verwendet daher unter "unten" die beliebte Firewall für Linux-Betriebssysteme. Wir können neue Regeln und Ketten konfigurieren und sogar verschiedene Hosts oder Netzwerke gruppieren, um eine bestimmte Konfiguration anzuwenden. Auf der Firewall-Konfigurationsebene ist dieses IPFire so vollständig wie iptables. Wenn wir jedoch keine Konfiguration über das Web haben, können wir immer über SSH darauf zugreifen, um erweiterte Konfigurationen durchzuführen.

Dieses Betriebssystem verfügt auch über ein erweitertes IDS und IPS. Um Einbrüche zu erkennen und zu verhindern, wird das beliebte SNORT verwendet, sodass wir über eine große Anzahl erweiterter Konfigurationsoptionen verfügen, insbesondere wenn wir seit dem Webkonfigurationsmenü über SSH eingeben hat nicht viele Funktionen. Wir haben auch die Möglichkeit, den Zugriff auf verschiedene P2P-Netzwerke wie BitTorrent, Ares oder EdonKey zuzulassen oder zu blockieren. Natürlich können wir ganze Länder einfach und schnell blockieren, eine WiFi-Karte installieren und einen WiFi-Zugangspunkt generieren, um drahtlose Konnektivität bereitzustellen.

Im Abschnitt «IPtables» können wir alle Regeln aller Ketten und Tabellen auf einer niedrigen Ebene sehen. Auf diese Weise können wir jederzeit wissen, was passiert. Wir werden auch die Möglichkeit haben, zusätzliche Software auf IPFire zu installieren, um die Funktionen dieser leistungsstarken Firewall zu erweitern. Schließlich sind die Protokolle in einer Firewall unerlässlich. Mit diesem Betriebssystem können wir die Protokolle anzeigen und zur weiteren Untersuchung an einen Syslog-Server senden.

Wie Sie gesehen haben, ist IPFire ein sehr vollständiges Firewall-orientiertes Betriebssystem, mit dem wir die gesamte inländische Kommunikation sowie die Kommunikation kleiner und mittlerer Unternehmen schützen können. Wir müssen uns daran erinnern, dass dieses IPFire auf Linux basiert und IPtables verwendet, da andere ähnliche Betriebssysteme auf FreeBSD basieren.

Wir hoffen, dass Sie mit diesem vollständigen IPFire-Tutorial Ihr Netzwerk besser schützen und seine Sicherheit im Detail konfigurieren können.