IPFireのインストールと構成：Linux Firewall for Business

IPFire はリソースをほとんど消費しないオペレーティングシステムであり、現在のどのコンピューターでも実際に使用できますが、論理的には、取得するパフォーマンスは使用するハードウェアによって異なります。ファイアウォールに数千のルールがあり、インストールしても同じことが起こります。侵入検知と防止のシステム。 ニーズに応じて、より良いまたはより悪いハードウェアが必要になります。

主な特徴

IPFireオペレーティングシステムの主な目的は、家庭およびビジネス環境でセキュリティを提供することであり、ファイアウォールエンジンは非常に簡単に構成でき、IDSは攻撃者がネットワークに侵入するのを防ぎ、侵入を防ぎます。 IPFire構成では、ネットワークをいくつかのゾーンに分割する必要があります。これらのゾーンにはデフォルトで異なるセキュリティポリシーがあり、後で詳細に構成できます。 たとえば、インターネットWAN、LAN、DMZ、および 無線LAN。 IPFireを支持するもうXNUMXつのポイントは、継続的な更新です。これは、インターネットに公開されているためファイアウォールに不可欠なものです。したがって、セキュリティの脆弱性を回避するには、オペレーティングシステム自体と拡張機能を更新することが不可欠です。

ファイアウォールとIDS / IPS

IPFireは、人気のあるLinuxファイアウォールであるIPtablesに基づくSPI（ステートフルパケットインスペクション）ファイアウォールを採用しています。 このソフトウェアを使用すると、パケットフィルタリングをすばやく実行でき、ハードウェアによっては、10Gbpsを超える帯域幅を提供できます。 グラフィカルユーザーインターフェイスのおかげで、ホストとネットワークのグループを作成して、後でそれらに短く整然としたルールを適用できるようになります。これは、フィルタリング対象を把握し、ルールを維持するために重要です。 もちろん、このファイアウォール指向のディストリビューションには、システムで発生しているすべてのことを知るためのグラフィカルレポートと高度なログがあります。

IPFireを使用すると、サーバーに到達せずにファイアウォール自体で直接フィルタリングすることにより、サービス拒否攻撃を軽減およびブロックするようにファイアウォールを構成し、WebサービスであるFTPに非常に重要な保護レイヤーを追加できます。 email その他。 。 もちろん、高度なIDS / IPS（侵入検知システムおよび侵入防止システム）のおかげで、IPFireはすべてのネットワークトラフィックを分析し、数百種類のネットワーク攻撃や情報漏えいなどを検出できます。 疑わしいネットワークアクティビティ。

VPN

今日、仮想プライベートネットワークは、インターネットを介してリモートロケーションを安全に相互接続するために非常に重要です。 IPFireにはさまざまなタイプの VPN、IPsec VPNやOpenVPNを含み、Cisco、Juniper、Mikrotik、D-Linkなどのファイアウォールメーカーや標準を使用するすべての人と相互運用できるようにするのに理想的です。 OpenVPNの組み込みのおかげで、リモートユーザーは、物理的にそこにいるかのようにオフィスに接続できます。すべての通信はエンドツーエンドで暗号化されているため、これらすべてが安全な方法で行われます。

その他の機能

IPFireには、プロフェッショナルルーターとプロフェッショナルファイアウォールの多数の機能が組み込まれています。主な追加機能のいくつかは、プロキシサーバーを高度な方法で構成する機能、DHCPサーバー、ドメイン名キャッシュ、時間のNTPサーバー、WoL（Wake ON LAN）、DDNSサーバー、高度なQoS、オペレーティングシステムで発生するすべてのイベントの完全な記録など。

最も重要な機能のXNUMXつは、拡張機能をインストールする機能です。この追加のソフトウェアのおかげで、このプロフェッショナルファイアウォールの機能を拡張できます。 最も人気のある拡張機能のいくつかは次のとおりです。

• SambaとNFSを備えたネットワークファイルサーバー。
• ネットワークプリンタサーバー。
• VoIP交換機のアスタリスク。
• Teamspeak。
• ビデオレコーダーサーバー。
• メールサーバーとスパム対策。
• ClamAVエンジンを使用するウイルス対策サーバー。
• ストリーミングサーバー。
• 匿名でインターネットを閲覧するTor
• できるより多くのプラグイン メインウィキから直接ダウンロード あなたのウェブサイトに

IPFireは ARM アーキテクチャ、次のような興味深いデバイスで動作できるようにします ラズベリーパイ または同様の機器。 アマゾンにもインストールできます クラウド クラウドにIPFireを配置し、すべての通信がVPN経由で機能するようにします。

IPFireをダウンロードしてインストールします

IPFireのダウンロードと使用は完全に無料です。公式Webサイトにアクセスし、[ダウンロード]タブに直接アクセスしてください。 このセクションでは、機器のアーキテクチャを選択する必要があります。通常はX86_64アーキテクチャですが、ARMアーキテクチャを使用する場合は、すぐ下にある適切なアーキテクチャをインストールする必要があります。 ダウンロードセクションに移動したら、「ISOイメージ」イメージをダウンロードして、CDまたはペンドライブからロードします。 起動可能なオペレーティングシステムであるため、任意のソフトウェアを使用して後で起動できます。

ダウンロードしたら、CDに書き込んだり、起動可能なUSBにコピーしたりできます。この場合、VMwareを搭載した仮想マシンにIPFireをインストールして、インストール方法を確認します。仮想的な方法で、制御されたテスト環境でテストし、後で本番環境に移行します。 このテスト環境では、XNUMXつのネットワークカードを作成します。XNUMXつはローカルネットワークに実際に接続するブリッジモードで、もうXNUMXつはホストオンリーモードで、コンピューターからWeb経由でIPFire管理に依存せずにアクセスできるようにします。ローカルネットワークから。

VMwareでの仮想マシンの構成

この例では、VMware Workstation 15.5 PROを使用しますが、このファイアウォール指向オペレーティングシステムのインストールには任意のバージョンが使用されます。 次の画面に示すように、VMwareを開くときに最初に行う必要があるのは、[新しい仮想マシンの作成]をクリックすることです。

VM構成ウィザードで、IPFire ISOイメージを選択し、オペレーティングシステムがLinuxベースであることを選択する必要があります。 Ubuntu 64ビット。最新のDebianバージョンを選択することもできますが、とにかく機能します。 次のメニューでは、VMのパス、仮想マシン用に予約されているディスクを選択します。最後に、作成するこの仮想マシンに搭載されるすべてのハードウェアの概要が表示されます。

終了する前に、「ハードウェアのカスタマイズ」をクリックしてネットワークカードを追加し、ネットワークカードを正しく構成する必要があります。

CPUとコアの数に関係なく（1をお勧めします CPU および2コア）、および RAM （最低2GBをお勧めします）、インターネットWAN（ネットワーク）とLAN（緑）があるため、XNUMX枚目のネットワークカードを追加する必要があります。 「追加」をクリックし、「ネットワーク アダプター」を追加します。

XNUMXつを追加したら、次のように構成する必要があります。

• アダプター1：カスタムVMnet1（ホストのみ）
• アダプター2：ブリッジ（自動）

次に、この構成がどのように見えるかを確認できます。

Windows 10オペレーティングシステムの場合、「コントロールパネル/ネットワークと共有センター/アダプター構成の変更」に移動し、IPアドレスをVMwareネットワークアダプターVMnet1に変更して、以下に示すようにIP 192.168.1.2/24を配置する必要があります。 完了したら、[同意する]と[同意する]をクリックして、構成メニューを終了します。

仮想マシンレベルですべてを構成したら、仮想マシンを実行してインストールを開始できます。

VMwareへのIPFireのインストール

仮想マシンを起動すると、グラフィカルユーザーインターフェイスから非常に簡単なインストールメニューが表示されます。最初のオプション「IPFire2.25のインストール」を選択するか、この時間が経過すると自動的に実行されるため、数秒待つ必要があります。

このオペレーティングシステムのインストールが開始されたら、インストール言語を定義する必要があります。スペイン語が利用できるので、言語に問題はありません。 次に、インストールへようこそ。インストールを開始するためのボタンがあります。 さまざまなメニューを移動して、タブ、スペースバーでオプションを選択し、[OK]ボタンまたは[キャンセル]ボタンの«Enter»で移動する必要があります。

これらのメニューでは、ハードディスクがすべてのデータで消去されることも示されます。インストールファイルシステムを選択する必要があります。Linuxオペレーティングシステムで最も一般的なEXT4を選択することをお勧めします。 選択すると、オペレーティングシステムのインストールが開始され、XNUMX分以内に利用できるようになります。 次に、正常にインストールされたことが通知され、IPFireを再起動する必要があります。 再起動すると、再度起動し、このインストールウィザードの実行を続行します。

次のメニューでは、キーボードの種類、タイムゾーン、IPfire自体のホスト名、およびオペレーティングシステムのドメイン名を選択する必要があります。

次に、rootパスワードと管理者パスワードの両方を入力する必要があります。rootパスワードはコンソールまたはSSHへのアクセスに使用され、グラフィカルユーザーインターフェイスの管理者パスワードが使用されます。 非常に重要な詳細は、パスワードフィールドにパスワードを入力すると、キーが反映されないことです。アスタリスクがあっても、他のユーザーにキーの長さが表示されないように、セキュリティのために「ブラインド」にする必要があります。

メインのIPFire構成メニューには合計XNUMXつのオプションがあり、ファイアウォール指向オペレーティングシステムでの作業を開始するにはこれらを構成する必要があります。

• ネットワーク構成のタイプ ：ここでは、GREEN + RED、GREEN + RED + ORANGE、GREEN + RED + BLUE、GREEN + RED + ORANGE + BLUEから選択する必要があります。 最も一般的なことは、DMZなどを使用せずにGREEN + REDを使用することですが、後でオペレーティングシステム自体で問題なく構成できます。 このチュートリアルでは、GREEN + RED、つまりXNUMXつのネットワークインターフェイスを使用してこれを行う方法を説明します。
• コントローラとカードの割り当て ：ネットワークカードをそれぞれのGREENおよびREDインターフェイスに割り当てる必要があります。 ブリッジのネットワークカードをREDに割り当て、vmnet1のネットワークカードをGREENに割り当てることが重要です。
• 住所 構成：DHCPサーバーをGREENで構成し、インターネット接続モードをNETWORKで構成します。
• ゲートウェイ設定 ：このオプションは、NETWORKに固定IPがある場合にのみ使用されます。

最初に行うことは、GREEN + REDネットワーク構成のタイプを選択することです。次に、GREENと入力して、ネットワークカードを選択する必要があります。

どのVMwareカードがブリッジモードまたはvmnet1にあるかをどのように判断できますか？ このように、MACアドレスを使用して、カードをさまざまなGREENおよびREDネットワークに正しく割り当てることができます。 VMwareでは、[仮想マシンの設定]をクリックし、ネットワークカードを選択して、右下の[詳細...]をクリックします。 ここでMACアドレスを取得します。この場合、最初のアドレスはGREENに対応し、XNUMX番目のアドレスはREDに対応します（デフォルトでは、カードのXNUMXつのMACのみを知る必要があります）。

それらを割り当てると、次のように表示されます。

の中に " アドレス構成 」セクションでは、GREENインターフェースのLANと、REDインターフェースのインターネット構成を構成する必要があります。 次に、すべてのメニューが表示されます。この場合、VMnet192.168.1.1で以前に構成した192.168.1.2インターフェースからアクセスするために、IP1でLANを構成しました。

「ゲートウェイ設定」では、REDインターフェースに固定IPがない限り、何も入力する必要はありません。 次に、DHCPサーバーをアクティブ化するかどうかが通知され、アクティブ化して構成できますが、後で問題なく構成することもできます。 完了すると、インストールが完了したことが示されます。

ウィザードを完了するとすぐに、すべての設定が適用された状態でオペレーティングシステムが自動的に起動し、rootユーザーを使用してコンソールからログインできるようになります。 Web経由でアクセスする場合は、アドレスバーに次の情報を入力する必要があります。https：//192.168.1.1：444、プライベートIPアドレスに関係なく、HTTPSを使用してポート444を配置することが非常に重要です。持ってる。

インストールしたら、利用可能な主な構成メニューを表示します。

IPFire管理オプション

Web経由でIPFireオペレーティングシステムにアクセスするには、ブラウザのアドレスバーに次のURLを入力する必要があります。https：//192.168.1.1：444、別のIPアドレスを選択した場合は、次のURLを入力できます。 HTTPSと事前設定されたポート444を使用しているため。 もちろん、Webブラウザはデジタル証明書が認識されないことを検出します。サイトへのアクセスをクリックして例外を追加します。

IPFireアクセスパスワードを入力すると、オペレーティングシステムのメインメニューにアクセスします。 メインメニューには、インターネットネットワークインターフェイスとLAN（GREEN）、およびその構成が表示されます。 上のバーには、実行できるさまざまなメニューと構成があります。

「システム」セクションでは、ハードウェアに脆弱性がある場合は、電子メールサービス、SSHアクセス、構成バックアップ、グラフィカルユーザーインターフェイス構成、システム情報にアクセスし、オペレーティングシステムをオフにすることもできます。

「ステータス」の部分では、システムのステータス、メモリ、サービス、使用している物理メディア、外部および内部ネットワークオプション、ネットワークオプション（その他）、OpenVPNのステータス、ハードウェアグラフィックス、エントロピー、接続、インターネットを確認できます。トラフィックとmdstat。 つまり、ここから、オペレーティングシステムのグローバルステータスを確認できます。 たとえば、「ネットトラフィック」セクションでは、リアルタイムのインターネットトラフィックのグラフを確認できます。「接続」セクションでは、確立されたすべての接続と多くの利用可能な表示オプションを確認できます。

「ネットワーク」セクションでは、さまざまなネットワークゾーンを構成し、構成することができます DNS、Webプロキシ、コンテンツフィルタリング、DHCPサーバー、キャプティブポータル、ホストの編集、DNS転送、静的ルートの構成、WoLおよびその他の構成オプション。

このファイアウォール指向オペレーティングシステムには、XNUMX種類のVPNがあります。どちらも詳細設定が異なるIPsecと、OpenVPNです。 もちろん、すべてのコンピューターがファイアウォールの時刻を要求するようにNTPを構成することもできます。

その他の利用可能なオプションは、QoSを構成することです。また、USB経由で、またはサーバー内のSATA3を使用して直接、外部ドライブを追加することもできます。

「ファイアウォール」セクションでは、すべてのルールを構成する可能性があります。IPFireはiptablesに基づいているため、「以下」では、一般的なLinuxオペレーティングシステムのファイアウォールを利用します。 新しいルールやチェーンを構成したり、さまざまなホストやネットワークをグループ化して特定の構成を適用したりすることもできます。 ファイアウォール構成レベルでは、このIPFireはiptablesと同じくらい完全ですが、Web経由で構成がない場合は、SSH経由でいつでもアクセスしてより高度な構成を実行できます。

このオペレーティングシステムには高度なIDSとIPSもあり、侵入を検出して防止するために、人気のあるSNORTを利用しているため、特にWeb構成メニューからSSH経由で入力する場合は、多数の高度な構成オプションがあります。多くの機能はありません。 また、BitTorrent、Ares、EdonKeyなどのさまざまなP2Pネットワークへのアクセスを許可またはブロックするオプションもあります。 もちろん、国全体を簡単かつ迅速にブロックできるだけでなく、WiFiカードをインストールし、WiFiアクセスポイントを生成してワイヤレス接続を提供することもできます。

«IPtables»セクションでは、すべてのチェーンとテーブルのすべてのルールを低レベルで確認できます。このようにして、何が起こっているかを常に知ることができます。 また、IPFireに追加のソフトウェアをインストールして、この強力なファイアウォールの機能を拡張することもできます。 最後に、ファイアウォールのログは不可欠です。このオペレーティングシステムを使用すると、ログを確認して、syslogサーバーに送信してさらに調査することができます。

ご覧のとおり、IPFireは非常に完全なファイアウォール指向のオペレーティングシステムであり、国内のすべての通信と中小企業の通信を保護することができます。 他の同様のオペレーティングシステムはFreeBSDに基づいているため、このIPFireはLinuxに基づいており、IPtablesを利用していることを覚えておく必要があります。

この完全なIPFireチュートリアルで、ネットワークをより保護し、セキュリティを詳細に構成できることを願っています。