IPFire-asennus ja -määritykset: Linux Firewall for Business

IPFire on käyttöjärjestelmä, joka kuluttaa hyvin vähän resursseja, sitä voidaan käytännössä käyttää missä tahansa nykyisessä tietokoneessa, vaikka loogisesti saamamme suorituskyky riippuu käytetystä laitteistosta, ja sama tapahtuu, jos palomuurissa on tuhansia sääntöjä ja asennamme myös tunkeutumisen havaitsemisen ja estämisen järjestelmä. Tarpeistamme riippuen tarvitsemme parempia tai huonompia laitteita.

Pääpiirteet

IPFire-käyttöjärjestelmän päätavoitteena on tarjota turvallisuutta koti- ja yritysympäristöissä, sen palomuurimoottori on erittäin helppo määrittää ja sen IDS estää hyökkääjiä pääsemästä verkkoon ja estää tunkeutumisen. IPFire-kokoonpanossa meidän on jaettava verkko useisiin vyöhykkeisiin, näillä vyöhykkeillä on oletusarvoisesti erilaiset suojauskäytännöt, jotka voimme myöhemmin määrittää yksityiskohtaisesti. Meillä on esimerkiksi Internet-alueet WAN, LAN, DMZ ja myös WiFi. Toinen asia IPFiren hyväksi on sen jatkuvat päivitykset, mikä on välttämätöntä palomuurissa, koska se on alttiina Internetille. Siksi päivitykset itse käyttöjärjestelmään ja laajennuksiin ovat välttämättömiä tietoturva-aukkojen välttämiseksi.

Palomuuri ja IDS / IPS

IPFire käyttää SPI-palomuuria (Stateful Packet Inspection), joka perustuu suosittuun Linux-palomuuriin, IPtable-tiedostoihin. Tämä ohjelmisto mahdollistaa pakettisuodatuksen nopeasti, ja laitteistosta riippuen se pystyy tarjoamaan yli 10 Gbps: n kaistanleveydet. Graafisen käyttöliittymän ansiosta pystymme luomaan isäntäryhmät ja verkot soveltamaan niihin myöhemmin lyhyitä ja järjestettyjä sääntöjä, mikä on tärkeää tietääksemme, mitä suodatamme, ja myös sääntöjen ylläpitämiseksi. Tietysti tällä palomuurisuuntautuneella jakelulla on graafiset raportit ja edistyneet lokit, jotta kaikki järjestelmässä tapahtuu.

IPFiren avulla voimme määrittää palomuurin lieventämään ja estämään palvelunestohyökkäyksiä suodattamalla sen suoraan itse palomuuriin pääsemättä palvelimille, jotta voimme lisätä erittäin tärkeän suojakerroksen verkkopalveluihimme, FTP: hen, email ja muut. . Tietysti kehittyneen IDS / IPS: n (tunkeutumisen havaitsemisjärjestelmä ja tunkeutumisen estojärjestelmä) ansiosta IPFire analysoi kaiken verkkoliikenteen ja pystyy havaitsemaan satoja erityyppisiä verkkohyökkäyksiä, tietovuotoja ja muita. epäilyttävä verkkotoiminta.

VPN

Nykyään virtuaaliset yksityisverkot ovat erittäin tärkeitä etäpaikkojen yhdistämiseksi Internetin kautta ja turvallisesti. IPFire sisältää erityyppisiä VPN, mukaan lukien IPsec VPN ja myös OpenVPN, ihanteellinen voidakseen toimia yhdessä palomuurivalmistajien, kuten Ciscon, Juniperin, Mikrotikin, D-Linkin, ja kaikkien muiden kanssa, jotka käyttävät standardeja. OpenVPN: n yhdistämisen ansiosta etäkäyttäjät voivat muodostaa yhteyden toimistoon ikään kuin olisivat fyysisesti siellä, ja kaikki tämä turvallisella tavalla, koska kaikki viestinnät on salattu päästä päähän.

Muita ominaisuuksia

IPFire sisältää suuren määrän ammattikäyttöön tarkoitettujen reitittimien ja palomuurien ominaisuuksia. Jotkut tärkeimmistä lisäominaisuuksista ovat kyky määrittää välityspalvelin edistyneellä tavalla, DHCP-palvelin, sisältää verkkotunnuksen välimuistin, NTP-palvelimen ajan, WoL (Wake) ON LAN), DDNS-palvelin, kehittynyt QoS, täydellinen tietue kaikista käyttöjärjestelmässä tapahtuvista tapahtumista jne.

Yksi tärkeimmistä ominaisuuksista on kyky asentaa laajennuksia, tämän lisäohjelmiston ansiosta voimme laajentaa tämän ammattimaisen palomuurin toimintoja. Jotkut suosituimmista laajennuksista ovat:

• Verkkotiedostopalvelin, jossa on Samba ja NFS.
• Verkkotulostinpalvelin.
• Tähti VoIP-keskukselle.
• Ryhmäpuhe.
• Videonauhurin palvelin.
• Postipalvelin ja roskapostin torjunta.
• ClamAV-moottoria käyttävä virustentorjuntapalvelin.
• Suoratoistopalvelin.
• Tor selata Internetiä nimettömästi
• Lisää laajennuksia, joita voi olla ladattu suoraan pääwikistä sivustossasi.

IPFire voi toimia myös ARM arkkitehtuurin, jolloin se voi toimia sellaisissa mielenkiintoisissa laitteissa kuin a Raspberry Pi tai vastaavia laitteita. Se voidaan asentaa myös Amazoniin pilvi IPFire on pilvessä ja että kaikki viestinnät toimivat VPN: n kautta.

Lataa ja asenna IPFire

IPFiren lataaminen ja käyttö on täysin ilmaista, siirry vain viralliselle verkkosivustolle ja siirry suoraan Lataa-välilehdelle. Tässä osiossa meidän on valittava laitteidemme arkkitehtuuri, yleensä se on X86_64-arkkitehtuuri, mutta jos käytät ARM-arkkitehtuuria, sinun on asennettava sopiva, joka on juuri alapuolella. Kun olemme latausosassa, siirrymme lataamaan ISO-kuvan lataamaan sen CD-levyltä tai pendrive-asemalta. Käynnistettävänä käyttöjärjestelmänä voimme käyttää mitä tahansa ohjelmistoa sen käynnistämiseen myöhemmin.

Kun olemme ladanneet sen, voimme polttaa sen CD-levylle, kopioida sen käynnistettävälle USB: lle jne. Meidän tapauksessamme aiomme asentaa IPFiren virtuaalikoneeseen, jossa on VMware, jotta voit nähdä, kuinka se asennetaan virtuaalisella tavalla ja testaa sitä kontrolloidussa testiympäristössä siirtääkseen se myöhemmin tuotantoon Tässä testiympäristössä luomme kaksi verkkokorttia, yhden silta-tilassa yhteyden muodostamiseksi todellisella tavalla paikalliseen verkkoon ja toisen vain isäntätilassa, jotta pääsemme IPFire-järjestelmänvalvojaan verkon kautta tietokoneeltamme ilman lähiverkosta.

Virtuaalikoneen määritykset VMwaressa

Meidän tapauksessamme aiomme käyttää VMware Workstation 15.5 PRO: ta, mutta mitä tahansa versiota käytettäisiin tämän palomuurisuuntautuneen käyttöjärjestelmän asentamiseen. Ensimmäinen asia, joka meidän on tehtävä avattaessa VMware, on napsauttaa «Luo uusi virtuaalikone», kuten näet seuraavasta näytöstä:

Ohjatussa virtuaalikoneen määritystoiminnossa meidän on valittava IPFire ISO -kuva, valittava, että käyttöjärjestelmä on Linux, joka perustuu Ubuntu 64-bittinen, vaikka voit valita myös uusimman Debian-version, se toimii joka tapauksessa. Seuraavassa valikossa valitsemme virtuaalikoneen polun, virtuaalikoneelle varatun levyn, ja lopuksi näemme yhteenvedon kaikesta laitteistosta, jonka tällä virtuaalikoneella aiomme luoda.

Ennen viimeistelyä on lisättävä uusi verkkokortti napsauttamalla “Mukauta laitteistoa” ja määritettävä verkkokortit oikein.

CPU: iden ja ytimien lukumäärästä riippumatta (suosittelemme 1 prosessori ja 2 ydintä), ja RAM (suosittelemme vähintään 2 Gt), meidän on lisättävä toinen verkkokortti, koska meillä on Internet WAN (verkko) ja LAN (vihreä). Napsautamme Lisää ja sittenverkko Sovitin ”lisätäksesi sen.

Kun olemme lisänneet nämä kaksi, meidän on määritettävä ne seuraavasti:

• Sovitin 1: mukautettu VMnet1 (vain isäntä)
• Sovitin 2: silta (automaattinen)

Seuraavaksi näet, miltä tämä kokoonpano näyttäisi.

In Windows 10 käyttöjärjestelmää, meidän on mentävä kohtaan “Ohjauspaneeli / Verkko- ja jakamiskeskus / Muuta sovittimen kokoonpanoa” ja vaihdettava IP-osoite VMware-verkkosovittimeksi VMnet1 asettamalla IP 192.168.1.2/24 kuten alla näkyy. Kun olet valmis, poistu määritysvalikosta napsauttamalla Hyväksy ja hyväksy.

Kun kaikki on määritetty virtuaalikoneiden tasolla, voimme suorittaa virtuaalikoneen asennuksen aloittamiseksi.

IPFiren asentaminen VMwareen

Kun käynnistämme virtuaalikoneen, voimme nähdä erittäin helpon asennusvalikon graafisen käyttöliittymän kautta, meidän on valittava ensimmäinen vaihtoehto "Install IPFire 2.25" tai yksinkertaisesti odottaa muutama sekunti, koska se toimii automaattisesti, kun tämä aika kuluu

Kun tämän käyttöjärjestelmän asennus on aloitettu, joudumme määrittelemään asennuskielen, meillä on espanja, joten kielellä ei ole mitään ongelmia. Seuraavaksi se toivottaa meidät tervetulleiksi asennukseen ja meillä on painike asennuksen aloittamiseksi. Eri valikoiden kautta meidän on siirryttävä sarkaimen, välilyöntinäppäimen avulla valitaksesi vaihtoehdot ja «Enter» -painikkeella OK- tai Peruuta-painikkeille.

Näissä valikoissa se osoittaa myös, että meillä oleva kiintolevy poistetaan kaikilla tiedoilla, meidän on valittava asennustiedostojärjestelmä, on suositeltavaa, että se on EXT4, joka on tyypillisin Linux-käyttöjärjestelmissä. Kun olemme valinneet sen, käyttöjärjestelmä alkaa asentaa ja alle minuutissa saamme sen saataville. Seuraavaksi se kertoo meille, että se on asennettu onnistuneesti, ja se tarvitsee meidät käynnistämään IPFire uudelleen. Kun käynnistämme uudelleen, se käynnistyy uudelleen ja jatkaa tämän ohjatun asennuksen suorittamista.

Seuraavissa valikoissa on valittava näppäimistötyyppi, aikavyöhyke, itse IPfire-isäntänimi ja myös käyttöjärjestelmän verkkotunnus.

Seuraavaksi meidän on annettava sekä pääkäyttäjän salasana että järjestelmänvalvojan salasana, juurisalasanaa käytetään konsolin tai SSH: n käyttämiseen ja graafisen käyttöliittymän järjestelmänvalvojan salasana. Erittäin tärkeä yksityiskohta on, että kun kirjoitamme salasanan salasanakenttään, avain ei heijastu edes tähdillä, meidän on asetettava se "sokeaksi" turvallisuuden vuoksi, jotta estämme muita käyttäjiä näkemästä avaimen pituutta.

IPFire-päävalikossa on yhteensä neljä vaihtoehtoa, jotka meidän on määritettävä aloittaaksemme palomuurikeskeisen käyttöjärjestelmän käytön:

• Verkkokokoonpanon tyyppi : tässä meidän on valittava vihreän + punaisen, vihreän + punaisen + appelsiinin, vihreän + punaisen + sinisen, vihreän + punaisen + appelsiinin ja sinisen välillä. Normaalin asia on, että VIHREÄ + PUNAINEN, ilman DMZ: ää tai mitään, mutta myöhemmin voimme määrittää sen ongelmitta itse käyttöjärjestelmässä. Tässä opetusohjelmassa näemme, miten se tehdään GREEN + PUNAISELLA, eli kahdella verkkoliitännällä.
• Ohjainten ja korttien määritys : Meidän on määritettävä verkkokortit vastaaville VIHREILLE ja PUNAISILLE rajapinnoille. On tärkeää, että määritämme sillan verkkokortin PUNAISEKSI, ja vmnet1: n verkkokortti - vihreäksi.
• Osoite kokoonpano: määritämme DHCP-palvelimen VIHREÄN ja Internet-yhteystilan VERKOSSA.
• Yhdyskäytävän asetukset : Tätä vaihtoehtoa käytetään vain, jos meillä on kiinteä IP VERKOSSA.

Ensimmäinen asia, jonka teemme, on valita VIHREÄ + PUNAINEN verkkokokoonpanon tyyppi, sitten meidän on syötettävä VIHREÄ ja valittava verkkokortti.

Kuinka voimme selvittää, mikä VMware-kortti on silta- tai vmnet1-tilassa? Tällä tavalla MAC-osoitteen avulla voimme määrittää kortit oikein eri VIHREÄ- ja PUNAISIIN verkkoihin. Napsautamme VMwaressa «Virtuaalikoneen asetukset», valitsemme verkkokortin ja napsautamme oikeassa alakulmassa kohtaa «Lisäasetukset ...». Täältä saamme MAC-osoitteen, tapauksessamme ensimmäinen vastaa VIHREÄÄ ja toinen PUNAISTA (oletusarvoisesti meidän on tiedettävä vain yhden kortin MAC).

Kun olemme määrittäneet ne, ne näkyvät seuraavasti:

Kohdassa ” Osoitteen määritys ”-Osassa meidän on määritettävä VIHREÄN käyttöliittymän lähiverkko ja PUNAISEN liitännän Internet-kokoonpano. Seuraavaksi voit nähdä kaikki valikot, tapauksessamme olemme määrittäneet lähiverkon IP 192.168.1.1: llä, jotta pääset käsiksi 192.168.1.2-liitännästä, jonka olemme aiemmin määrittäneet VMnet1: ssä.

"Yhdyskäytävän asetuksiin" meidän ei tarvitse laittaa mitään, ellei sinulla ole kiinteää IP-osoitetta RED-käyttöliittymässä. Seuraavaksi se kertoo meille, haluatko aktivoida DHCP-palvelimen, voimme aktivoida ja konfiguroida sen, mutta myöhemmin voimme myös määrittää sen ongelmitta. Kun olemme suorittaneet sen, se osoittaa, että asennus on valmis.

Heti kun ohjattu toiminto on suoritettu loppuun, käyttöjärjestelmä käynnistyy automaattisesti kaikkien asetusten kanssa, ja voimme kirjautua sisään konsolin kautta pääkäyttäjän kanssa. Jos haluat käyttää verkkoa, sinun on lisättävä seuraava osoiteriville: https://192.168.1.1:444, on erittäin tärkeää, että asetamme portin 444 HTTPS: llä riippumatta yksityisestä IP-osoitteesta omistaa.

Kun olemme asentaneet sen, näytämme nyt käytettävissä olevat päämääritysvalikot.

IPFire-hallinnan asetukset

Jotta pääsemme IPFire-käyttöjärjestelmään verkon kautta, meidän on syötettävä seuraava URL-osoite selaimen osoiteriville: https://192.168.1.1:444, jos olemme valinneet toisen IP-osoitteen, voimme syöttää niin kauan kun käytämme HTTPS: ää ja valmiiksi määritettyä porttia 444. Tietenkin web-selaimet havaitsevat, että digitaalista sertifikaattia ei tunnisteta, napsautamme pääsyä sivustolle ja lisätään poikkeus.

Kun syötämme IPFire-salasanan, pääsemme käyttöjärjestelmän päävalikkoon. Päävalikossa näemme Internet NETWORK -rajapinnan ja myös lähiverkon (VIHREÄ) sekä sen kokoonpanon. Yläpalkissa meillä on erilaiset valikot ja kokoonpanot, joita voimme tehdä.

"Järjestelmä" -osiossa voimme käyttää sähköpostipalvelua, SSH-käyttöä, varmuuskopiointia, graafisia käyttöliittymäkokoonpanoja, järjestelmätietoja, jos laitteistossa on haavoittuvuuksia, ja sammuttaa myös käyttöjärjestelmän.

"Tila" -osassa näkyy järjestelmän tila, muisti, palvelut, meillä olevat fyysiset tiedotusvälineet, ulkoiset ja sisäiset verkkovaihtoehdot, verkkovaihtoehdot (muut), OpenVPN: n tila, laitegrafiikka, entropia, yhteydet, Internet liikenne ja mdstat. Eli täältä voimme nähdä käyttöjärjestelmän globaalin tilan. Esimerkiksi "Verkkoliikenne" -osiossa voidaan nähdä kaavio reaaliaikaisesta Internet-liikenteestä ja "Yhteydet" -osiossa kaikki muodostetut yhteydet monilla käytettävissä olevilla näyttövaihtoehdoilla.

"Verkko" -osassa voimme määrittää eri verkkovyöhykkeet, määrittää DNS, web-välityspalvelin, sisällön suodatus, DHCP-palvelin, vangittu portaali, muokkausasemat, DNS-edelleenlähetys, staattisten reittien määrittäminen, WoL ja muut määritysvaihtoehdot.

Tässä palomuurisuuntautuneessa käyttöjärjestelmässä on kahta VPN-tyyppiä, molemmat IPsec eri lisäasetuksilla sekä OpenVPN. Tietenkin meillä on mahdollisuus konfiguroida NTP niin, että kaikki tietokoneet kysyvät mainitun palomuurin ajan.

Muita käytettävissä olevia vaihtoehtoja ovat QoS: n määritys ja mahdollisuus lisätä ulkoisia asemia joko USB: n kautta tai suoraan SATA3: n kanssa palvelimen sisällä.

"Palomuuri" -osiossa meillä on mahdollisuus määrittää kaikki säännöt, IPFire perustuu iptable-tiedostoihin, joten "alla" -kohdassa käytetään suosittua Linux-käyttöjärjestelmän palomuuria. Voimme määrittää uudet säännöt, ketjut ja jopa ryhmittää eri isännät tai verkot soveltamaan tiettyä kokoonpanoa. Palomuurin kokoonpanotasolla tämä IPFire on yhtä täydellinen kuin iptables, mutta jos meillä ei ole mitään määrityksiä verkon kautta, voimme aina käyttää SSH: n kautta edistyneempiä määrityksiä.

Tällä käyttöjärjestelmällä on myös edistyksellinen IDS ja IPS, tunkeutumisen havaitsemiseksi ja estämiseksi se käyttää suosittua SNORTia, joten meillä on paljon edistyneitä määritysvaihtoehtoja, varsinkin jos syötämme SSH: n kautta web-määritysvalikosta ei ole monia toimintoja. Meillä on myös mahdollisuus sallia tai estää pääsy erilaisiin P2P-verkkoihin, kuten BitTorrent, Ares tai EdonKey. Tietenkin voimme estää kokonaiset maat helposti ja nopeasti sekä asentaa WiFi-kortin ja luoda WiFi-tukiaseman langattoman yhteyden tarjoamiseksi.

«IPtables» -osiossa näemme kaikkien ketjujen ja taulukoiden kaikki säännöt matalalla tasolla, tällä tavalla voimme aina tietää mitä tapahtuu. Meillä on myös mahdollisuus asentaa lisäohjelmistoja IPFireen tämän tehokkaan palomuurin ominaisuuksien laajentamiseksi. Lopuksi palomuurin lokit ovat välttämättömiä, tämä käyttöjärjestelmä antaa meille mahdollisuuden nähdä ja lähettää lokit syslog-palvelimelle jatkotutkimusta varten.

Kuten olette nähneet, IPFire on erittäin täydellinen palomuurikeskeinen käyttöjärjestelmä, jonka avulla voimme suojata kaikkea kotimaista sekä pienten ja keskisuurten yritysten viestintää. Meidän on muistettava, että tämä IPFire perustuu Linuxiin ja käyttää IPtable-taulukoita, koska muut vastaavat käyttöjärjestelmät perustuvat FreeBSD: hen.

Toivomme, että tällä täydellä IPFire-opetusohjelmalla voit suojata verkkoasi paremmin ja määrittää sen turvallisuuden yksityiskohtaisesti.