OpenSource Firewall Lösungen - DFN-CERT€¦ · Vorstellung Warum eine Firewall? OpenSource...

VorstellungWarum eine Firewall?

OpenSource LösungenZusammenfassung

OpenSource Firewall LösungenEin Vergleich

Ralf Spenneberg

OpenSource TrainingRalf Spenneberg

Webereistr. 148565 Steinfurt

DFN-CERT Workshop 2006

Ralf Spenneberg OpenSource Firewall Lösungen



Ralf SpennebergOpenSource Training Ralf Spenneberg

UNIX/Linux Systemadministration seit 1989Freiberuflicher Dozent und Berater seit 1998Autor mehrere Bücher und ZeitschriftenartikelSchulungsunternehmen seit 2004




Gliederung

1 Vorstellung

2 Warum eine Firewall?

3 OpenSource LösungenSmoothwallIPCopM0n0wallPfsense

4 Zusammenfassung




Warum eine Firewall?

Single Point of DefenseGehärtetes SystemKontrolle des eingehenden und ausgehendenNetzwerkverkehrsInhaltsüberprüfung (Viren, SPAM,Unternehmensgeheimnisse)BandbreitenkontrolleSicherer Zugang von außen (VPN)




Warum Open Source?

PreisLizenzmodellAntwortzeiten des HerstellersGeringe Flexibilität




SmoothwallIPCopM0n0wallPfsense

OpenSource Firewall Lösungen... und kostenlos?

WerkzeugeFirewall-Builder (http://www.fwbuilder.org)Shorewall

Linux-DistributionenSmoothwall (http://www.smoothwall.org)IPCop (http://www.ipcop.org)

FreeBSD-DistributionenM0n0wall (http://www.m0n0.ch)Pfsense (http://www.pfsense.com)





Firewall-Builder

Werkzeug für eine Standarddistribution.Grafische Erzeugung der Regeln.Lauffähig unter Linux, MacOSX, Win32.Regelerzeugung für Iptables, Ipfilter, PF und Cisco PIX.Drag-n-Drop-Verwaltung der Regeln.Bridge-Funktionalität.





Firewall-Regeln in FW-Builder





Bridge Funktionalität in FW-Builder





Shoreline Firewall

Werkzeug für Standarddistributionen.Skriptbasiert, keine grafische Oberfläche.Unterstützung für VPN, QoS und Accounting.Unproblematischer Test neuer Regeln auch aus der Ferne.





Shorewall Zonen/etc/shorewall/zones

#ZONE DISPLAY COMMENTSnet Internet The big bad Internetloc Local Local Networkdmz DMZ Demilitarized zone.





Shorewall Policies/etc/shorewall/policy

#SOURCE DEST POLICY LOG LIMIT:BURST# LEVELloc net ACCEPTnet all DROP info

# THE FOLLOWING POLICY MUST BE LAST#all all REJECT info





Shorewall Regeln/etc/shorewall/rules

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/# PORT PORT(S) DEST LIMIT GROUPACCEPT loc fw tcp 22ACCEPT fw net tcp 53ACCEPT fw net udp 53ACCEPT fw net tcp 443#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE





Die Distributionen

Download in Form einer CDInstallation auf einer Festplatte/CompactflashUpdate-Mechanismus





Smoothwall ExpressDer Klassiker

Smoothwall ist der Klassiker unter den Web-basiertenLinux-Firewall-Distributionen.Es stellt fast alle benötigten Funktionen zur Verfügung.Kommerzieller Support durch eine Firma möglich.





Smoothwall Konfiguration





Smoothwall Eigenschaften

Einfache InstallationSSL-Web-InterfaceEinfaches Einspielen von UpdatesDienste:

DHCP-ServerNTP-ZeitserverWeb- und DNS-ProxyBandbreitenkontrolleIntrusion Detection mit SnortDynamic DNS Client

VPN mit IPsec und Preshared KeysStatus-Anzeigen





Abstraktion der Netzwerkkarten

Für das einfachere Verständnis versieht Smoothwall dieNetzwerkkarten mit Farben:

red - Internetorange - DMZgreen - LAN





IPCopBasiert auf Smoothwall

Da IPCop auf Smoothwall aufbaut, sind sowohl Installation alsauch Konfiguration ähnlich.IPCop enthält daher zu den Smoothwall-Funktionen folgendezusätzliche Funktionen:

Updates GPG-signiert.Snort mit Sourcefire-VRT-Regeln.VPNs mit Zertifikaten.





IPCop Installation





IPCop Netzwerk-Konfiguration





IPCop VPN-Konfiguration





IPCop IDS-Konfiguration





Abstraktion der Netzwerkkarten

Da IPCop auf Smoothwall aufbaut, verwendet IPCop dieselbeAbstraktion:

red - Internetorange - DMZgreen - LANblue - WLAN





IPCop Addons

Squidguard - ein URLFilterCop+ - ein ProxyFilterAdvProxy - ein ProxyFilter mit umfangreicherAuthentifizierungCopfilter - SMTP/POP/HTTP/FTP SPAM- und AntivirusfilterBlockOutTraffic - filtert auch ausgehenden Verkehr





M0n0wall

M0n0wall ist ein FreeBSD 6.0 basierende Firewall.Web-Interface mit SSLZustandsorientierter PaketfilterIPsec VPN und PPTP VPNBandbreitenregelungWeniger als 6MB





M0n0wall Konfiguration





Pfsense

Die Pfsense-Firewall basiert auf der M0n0wall. Sie bietetfolgende weiteren Funktionen:

Load BalancingSetup WizardCARP Hochverfügbarkeitgif-IPsec InterfaceWireless Funktionen (WPA, HostAP, etc.)Configuration History





Pfsense Konfiguration




Zusammenfassung

OpenSource Lösungen bieten leicht bedienbare grafischeWeb-Oberflächen.Updates sind zeitnah verfügbar (teilweise kommerziell).Support erfolgt durch die große Benutzer- undEntwicklergemeinde oder kommerzielle Firmen.VPN, Firewall und Inhaltsfilter stellen die Lösungen vorkeine Probleme.




Fragen

OpenSource Training Schulungen direkt vom AutorRalf Spenneberg System und Netzwerk Administration

Webereistr. 1 Apache 2.0, Samba, Postfix48565 Steinfurt VPN, Firewall, IDS

SELinux


OpenSource Firewall Lösungen - DFN-CERT€¦ · Vorstellung Warum eine Firewall? OpenSource...

Documents

Transcript of OpenSource Firewall Lösungen - DFN-CERT€¦ · Vorstellung Warum eine Firewall? OpenSource...