IP-COP the bad packets stop here:
Im Rahmen der Absicherung eines Netzwerkes, bin ich bei der Evaluierung mehrerer Produkte unter anderem auf das Opensource Produkt: IPCop gestoßen.
Hierbei handelt es sich um eine schlanke linuxbasierte Firewall, die auch Leute mit eingeschränkten Linuxkenntnissen installieren, administrieren und supporten können.
Das Besondere an dieser Lösung ist, daß man diesen Router / Firewall / Proxy-Server mit div. Modulen (sog. AddOns) ausstatten kann, um den Ansprüchen einer sicheren Umgebung gerecht zu werden - somit ist er jederzeit skalierbar.
Im Folgenden will ich meine Erfahrungen damit weiter geben und ein kleines Howto für die Installation und div. Anpassungen bereitstellen.
Installation:
In meinem Beispiel arbeite ich mit einem Rechner, der wie folgt ausgestattet ist:
- Pentium III 1,13 GHZ
- 512 MB RAM
- 3 X NIC 3COM 3C905TXM
- 2X80GB HDD (RAID1) an DC133 Controller
- 40 x CD-ROM
Installationsquelle als ISO-Datei bei www.ipcop.org herunterladen --> CD erstellen
Danach von der CD booten und die Installation assistentengesteuert durchführen.
Hierbei gibt es folgendes zu beachten:
- Wahl der Netzwerkinfrastruktur (RED; GREEN; ORANGE; BLUE)
- Zuordnung der Netzwerkkarten entsprechend der einzelnen Netzwerke
- Anpassung der IP-Adressen (statisch oder DHCP)
- Anpassung des Default Gewatys und der DNS-Konfiguration
Zur Installation:
- Wahl der Interfaces (RED=Internet-Port; Green=internes Netzwerk; Orange=DMZ; Blue=WLAN z.B. für HotSpot)
- Die vorhandene Konfiguration, die bei der Installation gewählt wurde, kann später in der Konsole einfach über den Befehl setup (ENTER) geändert werden.
Das Webinterface des Proxy-Server sollte jetzt erreichbar sein
Prüfung der Funktionalität:
- Webinterface erreichbar über: http://IP-Adresse:81 oder https://IP-Adresse:445
- auf dem Webinterface den SSH-Zugang aktivieren ! (Webinterface: SYSTEM -> SSH-Zugriff)
- läuft apache-webservice: in Console lokal oder per ssh: ps -A|grep httpd gegebenenfalls httpd Dienst stoppen und neu starten: killall httpd und danach httpd (ENTER)
Installation der Module auf dem Proxy-Server:
- Zur Installation müssen die tarball-Pakete zunächst mit dem SSH Client (WinSCP) in ein temporäres Verzeichnis kopiert werden.
- Danach wird das entsprechend zu installierende Paket in der Konsole (lokal oder per Client) entpackt: tar xvfz paketname.tar.gz (ENTER)
- Jetzt in das entsprechende Verzeichnis wechseln und mit Hilfe des Installationsscripts das AddOn installieren: cd verzeichnisname (ENTER) -> sehr häufig über: ./install -i (ENTER)
- Nun sollte im Webinterface das neue AddOn im Konfigurationsmenü erscheinen (Webinterface aktualisieren).
Meine bevorzugten Module zur Installation:
- webalizer (Auswertung, wer wann wo sich im Internet bewegt hat)
- NetTraffic (allgem. Netzwerkmonitor)
- Who is online (wer arbeitet am Proxy )
- CopSpot (Hotspot-lösung in Verbindung mit einem Linksys WRT54G (DD-WRT)
- Advanced Proxy; http://www.advproxy.net (erweiterte Konfigurationsmöglichkeiten am Proxy-Dienst)
- URL-Filter; http://www.urlfilter.net (White- und Blacklisting manuell und/oder automatisiert)
- Layer7 Blocker (P2P-Blocker für Filsharing etc.)
- IPBill (für Hotspot)
- SquidView (Proxy-Berichte und Auswertung)
- AddOns-Server; http://firewalladdons.sourceforge.net/index.html (Webinterface für div. AddOns)
- Calamrais; http://calamaris.advproxy.net (Auswertung)
- IPCop-WPAD; http://www.advproxy.net/download.html
Proxy-Script und Bereitstellung:
Speziell für die automatische Verteilung des Proxy-Scriptes über DHCP und DNS (keine Browseranpassung notwendig) benötigt man eine entsprechende Scriptdatei (Web Proxy Autodiscovery Protocol) wpad.dat, die sich ebenfalls relativ einfach über ein AddOn für den IPCOP installieren läßt.
Hier ist zu beachten, daß diese Datei später über einen Web-Server (z.B. IIS oder Apache) bereitgestellt wird und auch über eine entprechenden Änderung im DHCP-Server und DNS integriert ist.
Bereitstellung im DHCP-SERVER (hier Microsoft):
- neue Bereitstellungsoption erzeugen: DHCP Server -Verwaltung -> Vordefinierte Optionen einstellen -> Hinzufügen
- Name: WPAD -> Datentyp: Zeichenfolge -> CODE: 252; Beschreibung WPAD Bereitstellung -> Zeichenfolge: http://wpad/wpad.dat
Eintrag im DNS vornehmen (Microsoft):
- DNS-Verwaltung öffnen
- in entsprechende Forward-Zone wechseln
- neuen C-Name-Eintrag WPAD erstellen mit Verweis auf die IP-Adresse des IIS - Servers
Bereitstellung über IIS:
- IIS-Verwaltung -> Eigenschaften -> MIME-Typ Zuordnung -> Hinzufügen -> Neu -> Erweiterung: .dat und MIME-Typ: application/x-ns-proxy-autoconfig eintragen
- Die Datei wpad.dat (erzeugt vom AddOn im Verzeichnis /home/httpd/html) ins entprechende Verzeichnis des IIS kopieren (\inetpup\wwwroot)
- gegebenenfalls IIS neu starten: Start - > Ausführen -> CMD -> IISRESET
- in einem Browserfenster prüfen, ob die Datei bereitgestellt wurde -> http://wapd/wpad.dat
Clienteinstellungen des Browsers:
In sämtlichen Browsern kann nun als Option in den Verbindungseigenschaften das automatische Suchen der Konfigurationseinstellungen gewählt werden und somit ewntfällt eine Menge an administrativen Arbeiten bei dem jeweiligen Clientrechner