IPFire-installation och konfiguration: Linux-brandvägg för företag

IPFire är ett operativsystem som förbrukar mycket få resurser, det kan praktiskt taget användas på vilken dator som helst, även om det logiskt sett kommer prestandan vi får beror på vilken hårdvara som används, och detsamma händer om vi har tusentals regler i brandväggen och även installerar ett system för upptäckt och förebyggande av intrång. Beroende på våra behov behöver vi bättre eller sämre hårdvara.

Huvuddrag

Huvudsyftet med IPFire-operativsystemet är att tillhandahålla säkerhet i hem- och företagsmiljöer, dess brandväggsmotor är mycket lätt att konfigurera och dess IDS förhindrar angripare att komma in i nätverket och förhindrar intrång. I IPFire-konfigurationen måste vi dela upp nätverket i flera zoner, dessa zoner har olika säkerhetspolicyer som vi senare kan konfigurera i detalj. Till exempel har vi zoner för Internet WAN, LAN, DMZ och även WiFi. En annan punkt till förmån för IPFire är dess kontinuerliga uppdateringar, något som är väsentligt i en brandvägg eftersom den är exponerad för Internet, därför har uppdateringar till själva operativsystemet och tilläggen är nödvändiga för att undvika säkerhetsproblem.

Brandvägg och IDS / IPS

IPFire använder en SPI-brandvägg (Stateful Packet Inspection) baserat på IPtables, den populära Linux-brandväggen. Denna programvara tillåter paketfiltrering snabbt och, beroende på hårdvaran, kan den tillhandahålla bandbredder som är större än 10 Gbps. Tack vare det grafiska användargränssnittet kommer vi att kunna skapa grupper av värdar och nätverk för att senare tillämpa korta och ordnade regler på dem, något som är viktigt att veta vad vi filtrerar och även att upprätthålla reglerna. Naturligtvis har denna brandväggsorienterade distribution grafiska rapporter och avancerade loggar för att veta allt som händer i systemet.

Med IPFire kan vi konfigurera brandväggen för att mildra och blockera attacker av förnekelse av tjänster, genom att filtrera den direkt i brandväggen utan att nå servrarna, för att lägga till ett mycket viktigt lager av skydd till våra webbtjänster, FTP, e-mail och andra. . Naturligtvis, tack vare dess avancerade IDS / IPS (Intrusion Detection System och Intrusion Prevention System), kommer IPFire att analysera all nätverkstrafik och kunna upptäcka hundratals typer av nätverksattacker, informationsläckage och annat. misstänkt nätverksaktivitet.

VPN

Idag är virtuella privata nätverk mycket viktiga för att ansluta fjärrplatser via Internet och säkert. IPFire innehåller olika typer av VPN, inklusive IPsec VPN och OpenVPN, perfekt för att kunna samarbeta med brandväggstillverkare som Cisco, Juniper, Mikrotik, D-Link och alla som använder standarderna. Tack vare införlivandet av OpenVPN kommer fjärranvändare att kunna ansluta till kontoret som om de var fysiskt där, och allt detta på ett säkert sätt eftersom all kommunikation är krypterad från slut till slut.

Andra särdrag

IPFire innehåller ett stort antal funktioner för professionella routrar och professionella brandväggar, några av de viktigaste ytterligare funktionerna är möjligheten att konfigurera en proxyserver på ett avancerat sätt, en DHCP-server, innehåller domännamnscache, NTP-server för tid, WoL (Wake ON LAN), DDNS-server, avancerad QoS, en fullständig registrering av alla händelser som inträffar i operativsystemet etc.

En av de viktigaste funktionerna är möjligheten att installera tillägg, tack vare denna extra programvara kan vi utöka funktionerna i denna professionella brandvägg. Några av de mest populära tilläggen är:

• Nätverksfilserver med Samba och NFS.
• Nätverksskrivarserver.
• Asterisk för ett VoIP-växel.
• Teamspeak.
• Server för videobandspelare.
• E-postserver och antispam.
• Antivirusserver med ClamAV-motor.
• Strömmande server.
• Tor för att surfa anonymt på Internet
• Fler plugins som kan vara laddas ner direkt från huvudwiki på din webbplats.

IPFire kan också fungera ARM arkitektur, så att den kan fungera under sådana intressanta enheter som en hallon Pi eller liknande utrustning. Det kan också installeras på Amazon cloud att ha IPFire i molnet och att all kommunikation fungerar via VPN.

Ladda ner och installera IPFire

Nedladdningen och användningen av IPFire är helt gratis, gå bara till den officiella webbplatsen och gå direkt till fliken "Ladda ner". I det här avsnittet måste vi välja arkitektur för vår utrustning, normalt kommer det att vara X86_64-arkitektur, men om du använder ARM-arkitektur måste du installera lämplig som är precis nedanför. När vi väl är i nedladdningsavsnittet fortsätter vi med att ladda ner "ISO Image" -bilden för att ladda den från en CD eller en pendrive. Eftersom det är ett startbart operativsystem kan vi använda vilken programvara som helst för att senare starta det.

När vi väl har laddat ner den kan vi bränna den till en CD, kopiera den till en startbar USB etc. I vårt fall ska vi installera IPFire i en virtuell maskin med VMware så att du kan se hur du installerar den i ett virtuellt sätt och testa det i en kontrollerad testmiljö, för att senare flytta det till produktion. I denna testmiljö kommer vi att skapa två nätverkskort, ett i bryggläge för att ansluta på ett riktigt sätt till det lokala nätverket och ett annat i värdläge för att kunna komma åt IPFire-administrationen via webben från vår dator, utan att från det lokala nätverket.

Konfiguration av virtuell maskin i VMware

I vårt fall kommer vi att använda VMware Workstation 15.5 PRO, men vilken version som helst skulle användas för att installera detta brandväggsorienterade operativsystem. Det första vi måste göra när vi öppnar VMware är att klicka på «Skapa en ny virtuell maskin», som du kan se på följande skärm:

I VM-konfigurationsguiden måste vi välja IPFire ISO-avbildningen, välja att operativsystemet är en Linux-baserad på ubuntu 64bit, även om du också kan välja en senaste Debian-version, kommer den att fungera ändå. I nästa meny väljer vi sökvägen till den virtuella datorn, skivan reserverad för den virtuella maskinen, och slutligen kommer vi att se en sammanfattning av all hårdvara som den här virtuella maskinen som vi ska skapa kommer att ha.

Innan vi är färdiga måste vi klicka på “Anpassa maskinvara” för att lägga till ytterligare ett nätverkskort och konfigurera nätverkskorten korrekt.

Oavsett antal processorer och kärnor (vi rekommenderar 1 CPU och 2 kärnor) och RAM (vi rekommenderar minst 2 GB), vi måste lägga till ett andra nätverkskort, eftersom vi har Internet WAN (nätverk) och LAN (grönt). Vi klickar på "Lägg till" och klicka på "nätverks Adapter ”för att lägga till den.

När vi väl har lagt till de två måste vi konfigurera dem enligt följande:

• Adapter 1: anpassad VMnet1 (endast värd)
• Adapter 2: brygga (automatisk)

Därefter kan du se hur den här konfigurationen skulle se ut.

I Windows 10 måste vi gå till “Kontrollpanelen / Nätverk och delningscenter / Ändra adapterkonfiguration” och ändra IP-adressen till VMware Network Adapter VMnet1, genom att placera IP 192.168.1.2/24 som du kan se nedan. När du är klar klickar du på acceptera och acceptera för att lämna konfigurationsmenyn.

När vi har konfigurerat allt på den virtuella maskinnivån kan vi köra den virtuella maskinen för att börja installationen.

Installerar IPFire på VMware

När vi startar den virtuella maskinen kan vi se en mycket enkel installationsmeny via det grafiska användargränssnittet, vi måste välja det första alternativet “Installera IPFire 2.25”, eller bara vänta några sekunder eftersom det körs automatiskt när den här tiden går

När installationen av detta operativsystem startar måste vi definiera installationsspråket, vi har spanska tillgängliga så att vi inte har några problem med språket. Därefter välkomnar vi oss till installationen och vi kommer att ha en knapp för att börja installationen. Genom de olika menyerna måste vi flytta med fliken, mellanslag för att välja alternativ och med «enter» för OK- eller avbryt-knapparna.

I dessa menyer indikerar det också att hårddisken vi har kommer att raderas med all data, vi måste välja installationsfilsystemet, det rekommenderas att det är EXT4, vilket är det mest typiska i Linux-operativsystem. När vi väl har valt det kommer operativsystemet att börja installeras och på mindre än en minut har vi det tillgängligt. Därefter kommer den att berätta att den har installerats framgångsrikt och att den kommer att behöva starta om IPFire. När vi har startat om startar den upp igen och fortsätter att köra installationsguiden.

I följande menyer måste vi välja typ av tangentbord, tidszon, värdnamnet för själva IPfire och även operativsystemets domännamn.

Därefter måste vi ange både root-lösenordet och admin-lösenordet, root-lösenordet kommer att användas för att komma åt konsolen eller SSH och admin-lösenordet för det grafiska användargränssnittet. En mycket viktig detalj är att när vi anger lösenordet i lösenordsfältet återspeglas inte nyckeln, inte ens med asterisker, vi måste sätta den "blind" för säkerhet för att förhindra att andra användare ser längden på nyckeln.

IPFire-huvudkonfigurationsmenyn har totalt fyra alternativ, som vi måste konfigurera för att börja arbeta med det brandväggsorienterade operativsystemet:

• Typ av nätverkskonfiguration : här måste vi välja mellan GRÖN + RÖD, GRÖN + RÖD + ORANGE, GRÖN + RÖD + BLÅ, GRÖN + RÖD + ORANGE + BLÅ. Det mest normala är att ha GRÖN + RÖD, utan DMZ eller något, men senare kan vi konfigurera det utan problem i själva operativsystemet. I denna handledning kommer vi att se hur man gör det med GRÖN + RÖD, det vill säga två nätverksgränssnitt.
• Tilldelning av styrenheter och kort : vi måste tilldela nätverkskort till deras respektive GRÖNA och RÖDA gränssnitt. Det är viktigt att vi tilldelar nätverkskortet i bryggan till RÖDT och nätverkskortet i vmnet1 tilldelar vi det GRÖNT.
• Adress konfiguration: vi konfigurerar DHCP-servern i GRÖN och Internetanslutningsläget i NÄTVERK.
• Gateway-inställningar : det här alternativet används endast om vi har en fast IP i NÄTVERK.

Det första vi ska göra är att välja typ av GRÖN + RÖD nätverkskonfiguration, sedan måste vi ange GRÖN och välja nätverkskortet.

Hur kan vi se vilket VMware-kort som är i bryggläge eller i vmnet1? Med MAC-adressen kan vi på detta sätt tilldela korten korrekt till de olika GRÖNA och RÖDA nätverken. I VMware klickar vi på «Virtual Machine Settings», väljer ett nätverkskort och klickar på «Advanced ...» i den nedre högra delen. Här får vi MAC-adressen, i vårt fall motsvarar den första GRÖN och den andra RÖD (som standard behöver vi bara känna till MAC på ett av korten).

När vi väl har tilldelat dem visas de enligt följande:

I ” Adresskonfiguration ”Avsnittet är där vi måste konfigurera LAN för det GRÖNA gränssnittet och internetkonfigurationen för det RÖDA gränssnittet. Därefter kan du se alla menyer, i vårt fall har vi konfigurerat LAN med IP 192.168.1.1 för åtkomst från 192.168.1.2-gränssnittet som vi tidigare har konfigurerat i VMnet1.

I "Gateway-inställningar" behöver vi inte lägga något, såvida du inte har en fast IP i det RÖDA gränssnittet. Därefter kommer den att berätta om vi vill aktivera DHCP-servern, vi kan aktivera och konfigurera den, men senare kan vi också konfigurera den utan problem. När vi har slutfört det kommer det att indikera att installationen är klar.

Så snart vi har slutfört guiden startar operativsystemet automatiskt med alla inställningar som tillämpas och vi kan logga in via konsolen med rotanvändaren. Om du vill komma åt via webben måste du ange följande i adressfältet: https://192.168.1.1:444, det är mycket viktigt att vi placerar port 444 med HTTPS, oavsett den privata IP-adressen du ha.

När vi väl har installerat det kommer vi nu att visa dig de tillgängliga konfigurationsmenyerna.

Alternativ för IPFire-hantering

För att komma åt IPFire-operativsystemet via webben måste vi ange följande URL i webbläsarens adressfält: https://192.168.1.1:444, om vi har valt en annan IP-adress kan vi ange så länge när vi använder HTTPS och porten 444 som kommer förkonfigurerad. Naturligtvis kommer webbläsare att upptäcka att det digitala certifikatet inte känns igen, vi klickar på åtkomst till webbplatsen och lägger till undantaget.

När vi har angett IPFire-åtkomstlösenordet kommer vi till operativsystemets huvudmeny. I huvudmenyn kan vi se Internet NETWORK gränssnitt och även LAN (GRÖN) och dess konfiguration. I det övre fältet har vi de olika menyer och konfigurationer som vi kan göra.

I avsnittet "System" kan vi komma åt e-posttjänsten, SSH-åtkomst, konfigurationssäkerhetskopiering, grafiska användargränssnittskonfigurationer, systeminformation, om vi har sårbarheter i hårdvaran, och även stänga av operativsystemet.

I "Status" -delen kan vi se status för systemet, minne, tjänster, fysiska medier som vi har, externa och interna nätverksalternativ, nätverksalternativ (andra), status för OpenVPN, hårdvarugrafik, entropi, anslutningar, internet trafik och mdstat. Härifrån kan vi se operativsystemets globala status. Till exempel, i avsnittet "Netto-trafik" kan vi se en graf med realtidstrafik och i avsnittet "Anslutningar" alla etablerade anslutningar med många tillgängliga visningsalternativ.

Avsnittet "Nätverk" är där vi kan konfigurera de olika nätverkszonerna, konfigurera DNS, webbproxy, innehållsfiltrering, DHCP-server, captive portal, redigera värdar, DNS-vidarebefordran, konfigurera statiska rutter, WoL och andra konfigurationsalternativ.

Detta brandväggsorienterade operativsystem har två typer av VPN, båda IPsec med olika avancerade inställningar, samt OpenVPN. Naturligtvis har vi möjligheten att konfigurera NTP så att alla datorer frågar tiden för nämnda brandvägg.

Andra tillgängliga alternativ är att konfigurera QoS, och också möjligheten att lägga till externa enheter, antingen via USB eller direkt med SATA3 inuti servern.

I avsnittet "Brandvägg" är det där vi kommer att ha möjlighet att konfigurera alla regler, IPFire är baserat på iptables, och därför använder den den populära Linux-operativsystemens brandvägg under "nedan". Vi kan konfigurera nya regler, kedjor, och vi kan även gruppera olika värdar eller nätverk för att tillämpa en specifik konfiguration. På brandväggens konfigurationsnivå är denna IPFire lika komplett som iptables, men om vi inte har någon konfiguration via webben kommer vi alltid att kunna komma åt via SSH för att utföra mer avancerade konfigurationer.

Detta operativsystem har också en avancerad IDS och IPS, för att upptäcka och förhindra intrång, använder den populära SNORT, så vi kommer att ha ett stort antal avancerade konfigurationsalternativ, särskilt om vi går in via SSH eftersom webbkonfigurationsmenyn har inte många funktioner. Vi kommer också att ha möjlighet att tillåta eller blockera åtkomst till olika P2P-nätverk som BitTorrent, Ares eller EdonKey bland andra. Naturligtvis kan vi blockera hela länder enkelt och snabbt, samt installera ett WiFi-kort och skapa en WiFi-åtkomstpunkt för att ge trådlös anslutning.

I avsnittet «IPtables» kan vi se alla regler för alla kedjor och bord på låg nivå, på detta sätt kan vi alltid veta vad som händer. Vi kommer också att kunna installera ytterligare programvara på IPFire för att utöka funktionerna i denna kraftfulla brandvägg. Slutligen är loggarna i en brandvägg viktiga, detta operativsystem gör det möjligt för oss att se och skicka loggarna till en syslog-server för vidare studier.

Som du har sett är IPFire ett mycket komplett brandväggsorienterat operativsystem som gör det möjligt för oss att skydda all inhemsk kommunikation och de från små och medelstora företag. Vi måste komma ihåg att denna IPFire är baserad på Linux och använder IPtables, eftersom andra liknande operativsystem är baserade på FreeBSD.

Vi hoppas att du med denna fullständiga IPFire-handledning kan skydda ditt nätverk mer och konfigurera dess säkerhet i detalj.