Koga pa vi spuščate v svoj dom?

Vse prevečkrat se nam zdi, da je izboljšanje varnosti povezano s tako velikimi stroški, da si v domačem okolju preprosto ne moremo privoščiti varnih rešitev. A nekatere odprtokodne rešitve nas znajo prepričati tudi o nasprotnem. Smoothwall Express je odprtokodni požarni zid na podlagi Linuxa, ki je brezplačen. Pa je zato kaj manj učinkovit?

Ali se, ko sedimo doma za omrežno povezanim računalnikom, zavedamo, da nas obdaja ves svet? Da v dobi digitalnih tehnologij, hitrih povezav in nepredstavljivega števila ljudi v spletu lahko kdorkoli od njih v trenutku potrka na naša - seveda digitalna - vrata? Ga spustimo v svoj dom kar tako? Sploh vemo, da je kdo pred vrati? Sploh vemo, da je kdo že vstopil?

Taka in podobna vprašanja si lahko zastavljamo v nedogled, a si jih na žalost premalokrat. Še vedno velja, da naši domovi večinoma niso zaščiteni pred nepovabljenimi gosti, da premalo upoštevamo varnost svojega domačega računalnika in celotnega domačega omrežja. Varnost je še vedno vse prevečkrat povezana z velikimi stroški in, vsaj ponavadi, z zapletenostjo, ki ji kot povprečni uporabniki nismo kos. Reševanje problema prestavljamo na kasnejši čas.

Vendar je na voljo programska oprema, ki je poceni, pravzaprav brezplačna, in presenetljivo enostavna tako za uporabo kot nadzor in upravljanje. Tudi če še ne poznamo nobene od distribucij Linuxa, na nas ne bo strah. Avtor teh vrstic kot zaprisežen "oknaš" celo meni, da je to pravzaprav ena izmed elegantnejših rešitev za spoznavanje drugega operacijskega sistema, saj ga je sistem navdušil. Z varnostjo, uporabnostjo in enostavnostjo.

SmoothWall Express 2.0 je namenska odprtokodna požarna pregrada, ki jo lahko namestimo v dodaten, poseben računalnik. Sistemske zahteve so namreč precej nizke, priporočen je kakršenkoli procesor razreda Pentium od takta 150 MHz naprej, 64 MB pomnilnika, 2 GB diska, CD in vsaj en omrežni vmesnik. Ob uporabi širokopasovnega dostopa (xDSL, kabel) pa vsaj dva omrežna vmesnika. Razvijalci se poskušajo držati štirih preprostih pravil:

- enostavnosti - tudi domači uporabnik, ki ne pozna sistema Linux, ga mora biti zmožen namestiti,

- čim več podpore omrežnih vmesnikov, modemov in druge strojne opreme,

- čim večje podpore različnih povezav, različnih ponudnikov povezav v splet,

- spletni vmesnik za upravljanje in nadzor.

Požarno pregrado Smoothwall 2.0 sestavlja zaradi varnosti okleščeno jedro Linuxa različice 2.4.30. V imenu varnosti je projektna skupina odstranila vse storitve, datoteke in tudi vse ukaze, ki niso nujno potrebni za samo delovanje požarne pregrade. Celotna varnost temelji na okleščenosti jedra, na čim manjšem številu dejavnih storitev in na paketnem filtriranju omrežnega prometa IPtables. Po namestitvi preprečuje vsakršen prehod iz zunanjega v notranje omrežje, razen tistih povezav, ki so že bile spočete iz notranjega dela omrežja.

Namestitev Smoothwalla

Ker je Smoothwall namenska požarna pregrada, ni namenjen namestitvi v računalnik z že obstoječim operacijskim sistemom. Je čisto poseben operacijski sistem in njegova namestitev nam bo izbrisala prav vse podatke s prvega diska. Prav tako je za neizkušene uporabnike priporočljivo namestiti Smoothwall na strojno opremo samo z enim diskom IDE, saj namestitveno programje privzeto upošteva le tega.

Ob namestitvi zbrišemo ves prvi IDE disk

Ker požarna pregrada deluje kot vmesnik med našim - krajevnim, domačim - omrežjem in svetovnim spletom, se mora pri tem obnašati tudi kot čisto navaden usmerjevalnik. Zaradi tega navadno v svojem krajevnem omrežju postavimo vse računalnike z lastno IP naslovno shemo, ki je ena od zasebnih IP naslovnih shem (10.0.0.0, 192.168.0.0, 172.16.0.0), odvisno od tega, koliko računalnikov imamo, oziroma koliko jih bomo postavili v domačem omrežju. Seveda nam Smoothwall omogoča tudi avtomatsko nastavitev IP številk naših domačih računalnikov - DHCP storitev. Za prehajanje v splet pa potrebujemo javno IP številko (fiksno ali začasno), ki nam jo v vsakem primeru dodeli naš ponudnik in za katero nam Smoothwall skrije naše celotno domače omrežje. Tako se naše omrežje in vsi računalniki v njem svetovnemu spletu vedno predstavljajo z enim samim IP naslovom. Če nimamo fiksne IP številke, dodeljene s strani našega ponudnika, in imamo lastni spletni strežnik, tudi ni razloga za skrb. Smoothwall namreč podpira tudi dinamično razločevanje imen (dynamic DNS), in to zaenkrat kar devet različnih ponudnikov, kar bi moralo zadoščati.

Pri širokopasovnem dostopu do svetovnega spleta (xDSL, kabelski internet) mora imeti naša strojna oprema vsaj dva omrežna vmesnika. Smoothwall poimenuje enega zeleni in drugega rdeči. Zeleni je vmesnik proti krajevnemu omrežju, rdeči pa proti svetovnemu spletu. Če imamo lastni spletni strežnik, pa kljub temu hočemo dobro varovati svoje omrežje, si lahko omislimo še tretji vmesnik. Tega poimenujemo oranžni in je nekakšno vmesno (DMZ) območje. Do tega območja imamo seveda dostop iz notranjega omrežja in iz svetovnega spleta. To območje je namenjeno storitvam, ki jih ponujamo. Najbolj razširjena storitev je seveda spletni strežnik. Če se zgodi, da nam kdo vdre v spletni strežnik, napadalec še vedno nima dostopa do krajevnega omrežja. S tem občutno povečamo varnost svojega krajevnega omrežja. Seveda imamo lahko spletni strežnik, ki je dostopen iz svetovnega spleta tudi znotraj krajevnega omrežja, a je to lahko precej nevarno. Napadalec, ki bi izkoristil varnostno pomanjkljivost spletnega strežnika (in teh je vedno dovolj), bi že bil v krajevnem omrežju in bi lahko enostavno napadel še vse druge računalnike.

Omrežni vmesniki

Seveda Smoothwall podpira tudi druge načine povezave v splet, klicne prek analognega modema ali linije ISDN, vmesnike ADSL in podobno. Pri namenskih strojnih vmesnikih moramo paziti, ali so na seznamu strojne opreme, ki jo Smoothwall podpira.

Tudi za računalnike, postavljene v krajevno omrežje, ima Smoothwall nekaj ugodnosti. Ena od teh je prav gotovo Squid, ki je nadomestni spletni strežnik (Web Proxy), ki skrbi za vse naše zahteve, ko brskamo po spletu iz svojega krajevnega omrežja. Ob skrbi, da po nepotrebnem ne zapravljamo pasovne širine, lahko ob njegovi uporabi tudi zapisujemo vse svoje dostope v splet in s tem nadziramo uporabo svetovnega spleta iz svojega krajevnega omrežja.

Poročilo o prometu

Kot varnostni dodatek, ki je že nameščen ob namestitvi požarne pregrade, omenimo še Snort, ki je nadzorno orodje za promet (IDS), prihajajoč v naše omrežje. Deluje po načelu znanih napadov in nepravilnosti v prometu in nam ob tem sporoča, kaj se dogaja v našem omrežju. Vendar sam Snort ne preprečuje napadov, le opozarja na morebitno možnost napada, zato je njegova raba v pomoč le naprednejšim uporabnikom.

Nadzor in upravljanje naše požarne pregrade je izvedeno s preprostim spletnim vmesnikom, ki ga lahko hitro osvojimo. Vse prilagoditve, nastavitve in pregledi zapisovanja gredo prek njega. Tudi dostop do sistemske konzole (shell) lahko izvajamo prek tega vmesnika. Še več, tudi popravke zna sam pridobiti in jih namestiti - na našo zahtevo seveda - prek spleta. Tako ob našem računalniku sploh ne potrebujemo ne monitorja in ne tipkovnice. Potrebujemo ju le ob prvi namestitvi Smoothwalla.

Spletni vmesnik

Ena večjih ugodnosti odprtokodnih projektov je skupnost, ki se splete okoli njih. Tudi Smoothwall ima svojo (http://community.smoothwall.org/), ki s prispevki silno veliko prispeva k nadaljnjemu razvoju in oplemenitenju osnovnega programskega izdelka. Skupnost je zelo živa in delujoča, v tem trenutku ima več kot 11.000 članov in se še vedno hitro razvija. Taka aktivna skupnost blagodejno vpliva na razvoj programske opreme, ki s tem pridobiva na funkcionalnosti in varnosti. V skupnosti dobimo na stotine sprememb, dodatkov, takih ali drugačnih skript, programske opreme in podobnega. To so lahko dodatki za požarno pregrado, dodatki za pregled beleženja dogodkov, dodatki za pregledovanje prometa, dodatki za oblikovanje prometa, dodatki "Proxy" ter množica dodatkov različnim spletnim storitvam. Če ne drugače, se skupnosti lahko priključite v tekmovanju za najdaljši čas sistema z neprekinjenim delovanjem, ki poteka na http://www.uptime-project.net. To je igra, v kateri sodelujemo z najdaljšim časom neprekinjenega delovanja našega sistema. Tekmovalci so razdeljeni v skupine - lige in tudi skupnost Smoothwall ima svojo. Trenutno so na 81. mestu med ligami, s povprečnimi 43 dnevi neprekinjenega delovanja.

Dostop SSH

Če hočemo imeti dostop SSH do svojega novega sistema, ga moramo najprej dovoliti v spletnem vmesniku. Ta je namreč ob namestitvi izključen. Gremo na zavihek "services", na podzavihek "remote access". V sistem pa se prijavljamo pod zavihkom "tools", podzavihek "shell". Ne pozabimo, da se moramo v lupino prijaviti z uporabnikom root in ne z upravljavskim (admin) uporabnikom!

Dovoljen ssh dostop do sistema

SSH uporablja vrata 222, SSL pa vrata 441. Če želimo imeti dostop tudi iz zunanjega sveta, ne smemo pozabiti na odpiranje prehoda za ti dve storitvi. Omogočanje dostopa do krajevnega omrežja je v Smoothwallu "Port forwarding", omogočanje dostopa do samega sistema Smoothwall pa "External service access"! Vendar bodimo pozorni, omogočanje teh dveh storitev iz zunanjega sveta nam lahko prinese tudi kak vdor. Vsekakor moramo uporabo temeljito nadzorovati.

Namestitev operacijskega sistema je preprosta in ne zahteva nikakršnega znanja o Linuxu. Sistem lahko namestimo neposredno s CDja, prek disket in CDja ali prek omrežja. Najlažja je samodejna namestitev prek CDja, ki ga vtaknemo v režo našega CD pogona in prižgemo računalnik. Vse drugo je prepuščeno namestitvenemu programju, ki opravi večino dela, mi samo izbiramo med različnimi odločitvami. Malo dlje se lahko pomudimo le ob definiranju naših omrežnih vmesnikov. Velika večina nas bo izbrala v "Network configuration type" tip GREEN + RED, zato bomo morali izbirati omrežni vmesnik dvakrat. Prvi vmesnik je zeleni, naslednji pa rdeči. Nikakor ne izberemo ADSL, ker Smoothwall malce drugače pojmuje ADSL, kot je v navadi v Sloveniji. Namestitveni program ADSL pojmuje kot modem ADSL, ki je priključen prek vmesnika USB. V Sloveniji pa večinoma uporabljamo ethernetno povezavo z modemom ADSL, ki nam ga namesti ponudnik storitve. Če imamo torej tako navadno povezavo, nastavitve ADSL preskočimo, oziroma izberemo "Disable ADSL". Samo povezavo bomo definirali naknadno prek spletnega vmesnika. Pravzaprav nam največ časa vzame določitev treh uporabnikov na sistemu ter določitev njihovih gesel. Tako že pri namestitvi dobimo tri različne uporabnike: glavni upravljavec (admin), glavni uporabnik (root) in uporabnik, ki lahko upravlja namestitev (setup). Dobro izbrana gesla so na požarni pregradi zelo pomembna, raje si vzemimo nekaj več časa in izberimo težka gesla, torej taka z najmanj osmimi znaki, s črkami in številkami vred. Ko je namestitev končana, se sistem znova zažene. Že po tem koraku lahko pozabimo na zaslon in tipkovnico priključeno na računalnik, saj odslej prav vse izvajamo prek spletnega uporabniškega vmesnika. Nanj se prijavimo s https://x.x.x.x:441, kjer je x.x.x.x IP naslov, ki smo ga dali našemu sistemu ob namestitvi (privzet je 192.168.0.1). Ker je upravljanje zavarovano s protokolom SSL, se nam najprej prikaže okence, ki nas sprašuje, ali digitalnemu potrdilu, ki si ga je sam izdal naš sistem, zaupamo. To okence se nam bo prikazovalo vedno, kadar se bomo skušali prijaviti v sistem. Znebimo se ga lahko v dveh korakih. Najprej moramo digitalnemu potrdilu sploh zaupati in ga vnesti med zaupanja vredna potrdila. To v brskalniku IE naredimo tako, da kliknemo gumb "View certificate" in nato "Install certificate". Vsa druga okenca odklikamo z "OK". Druga težava pa je v razločevanju imen; naš Smoothwall si namreč izda digitalno potrdilo na privzeto ime Smoothwall. Če nočemo prikazovanja okenca, bomo morali v svoji datoteki "hosts" (c:\windows\system32\drivers\etc) dodati vrstico, kot je:

192.168.0.1 smoothwall

kjer seveda kot številko IP vpišemo tisto, ki smo jo določili ob namestitvi. Nato se z brskalnikom vedno prijavljamo na naslov https://smoothwall:441. Po potrditvi digitalnega potrdila se nam prikaže vstopno okno s podatki o našem sistemu. Te podatke vidi vsakdo, ki ima omrežni dostop do požarne pregrade (torej vsaj celotno krajevno omrežje), a bodimo brez strahu. Če si stran dobro ogledamo, vidimo, da pravzaprav ne izda nobene prav pretresljive skrivnosti: koliko časa je sistem aktiven, koliko časa smo povezani v splet, pa še kakšno reklamo in pomoč. Ob naslednjem pritisku na katerikoli gumb se bomo morali prijaviti s pravicami upravljavca, ki smo jih določili ob namestitvi.

Če imamo navaden širokopasovni dostop, ne pozabimo najprej določiti povezave. To določimo po prijavi na zavihku "networking" in podzavihku "ppp settings". Za ime profila si izberemo nam razumljivo ime, pod sekcijo "Telephony" pa v okencu pri "interface" izberemo PPPoE, v sekciji "Authentication" pa pod "Username" in "Password" vpišemo svoje uporabniško ime in geslo, kakor nam ga je za dostop do spleta dodelil naš ponudnik. Nikar ne odkljukajmo "Automatic reboot if connection down for 5 minutes", dogajalo se nam bo, da se nam bo sistem avtomatsko znova zagnal vsakih 5 minut, ko bo naš ponudnik nedosegljiv, to pa zna biti precej nerodno. Stisnemo gumb "Save". Če smo vse naredili pravilno, se nam pod zavihkom "Control" prikaže stanje povezave in to, da je zveza vzpostavljena. Prikazan je čas vzpostavljene aktivne povezave.

Nastavitve PPPoE

Kot hitro razvijajoča in predvsem varna programska oprema je tudi pri Smoothwallu treba nameščati popravke. Do zdaj se je nabralo sedem paketov popravkov. Da nam ne bi bilo treba že po prvem nameščanju sistema takoj nameščati tudi popravkov, je najbolje, da si priskrbimo kar različico namestitve, v kateri je osnovni paket pripravljen za namestitev že skupaj s popravki. To dobite v skupnosti, na naslovu http://community.smoothwall.org/forum/viewtopic.php?t=12229.

Izmed desetin različnih dodatkov omenimo le enega, ki se nam zdi več kot uporaben. O enem njegovem delu smo že pisali v naših odprtokodnih prispevkih, to je DansGuardian, ki je pri Smoothwallu povezan s protivirusnim izdelkom DGAV. DansGuardian nam omogoča natančno izbiro, kam, kdaj in kako prehajajo v svetovni splet naši uporabniki iz krajevnega omrežja. Pozna vse vrste vsebinskega nadzora, v povezavi z antivirusnim programom pa zna ves promet, ki ga pretočimo iz "nevarnega" spleta, tudi ustrezno pregledati. V tem so zajeti virusi, trojanski konji in črvi. Posodobitve podatkov o virusih se redno dodajajo, program pa jih zna enostavno pretočiti tudi k nam. Skratka, ob zelo dobrem vsebinskem nadzoru našega prehajanja v splet nam program omogoča tudi brskanje po spletu, ki bo odslej veliko bolj varno.

Če bomo hoteli uporabiti take in drugačne dodatke, bomo seveda potrebovali orodje, ki zna pretakati podatke v naš novo postavljeni sistem. Orodje, ki je prirejeno za okolje Windows in dobro pozna tudi Linux, je WinSCP (htttp://winscp.net) in je na voljo z dovoljenjem GPL. Za konzolni dostop lahko uporabimo programsko opremo Putty ali podobno, vendar je tudi konzolni dostop prek spletnega vmesnika čisto zadovoljiv.

ssh prek spletnega vmesnika

Požarna pregrada Smoothwall je po prepričanju njene skupnosti ena varnejših požarnih pregrad in pred napadalci brani že okroglo milijon krajevnih omrežij. Izdelek je zares enostavno namestiti in uporabljati. Naprednejšim uporabnikom in manjšim podjetjem pa ponuja pravo bogastvo različnih dodatkov in možnosti uporabe. Če nas doslej še ni prepričal noben odprtokodni projekt, nas bo ta zagotovo.