Articles

M0n0wall ja Soekris embedded firewall and VPN

osana konsultointikäytäntöäni minua pyydetään usein auttamaan yrityksiä selvittämään tapoja ratkaista mielenkiintoisia etäkäyttöongelmia:kaikkea etätyö-ja etätoimistosovelluksista, palomuurien kautta co-location-palveluihin tai yritysten välillä, joissa on jokin datankäyttösovellus, joka tarvitsee turvallisen, omistetun point-to-point-verkon.

kuten voidaan kuvitella, palomuurien ja VPN: ien käyttöönotosta ja hallinnoinnista aiheutuvat kustannukset ovat aina yritysten ongelmalistalla. Helppo vastaus on valita joku erittäin hyvin tunnettu VPN laitteisto tai palomuuri myyjä, mutta useimmiten useimmat hyvin tietää ratkaisut eivät ole paras valinta, ja hyvin kaukana ait budjetin näkökulmasta. Sitten on nopeus käyttöönoton ja toimituksen, theead kertaa mukana ohjelmistolisenssineuvotteluja ja laitteiston hankinta leadtimes voi ottaa tuulen purjeet aika herkkä aloite melko nopeasti. Onneksi, kuten mitä tahansa IT-alalla, on enemmän kuin yksi mahdollisuus saada jotain aikaan.

työ

ongelmat, joita minun on tässä tilassa ratkaistava, kuuluvat yleensä kolmeen yleisluokkaan:

tarve ottaa käyttöön Turvallinen palomuuri pienestä keskitetystä toimistosta Internetiin tai liittää satelliittitoimistot keskitettyyn toimistoon tai laitokseen.

tarve ottaa käyttöön nopea, turvallinen ja edullinen järjestelmä, jolla tuetaan laajakaistayhteyksissä käytettäviä etätyökoneita.

tarve ottaa käyttöön palomuuri kuin candeliver palvelun laatu tietyille Internet-sovelluksille.

kokonaiset toimialat on rakennettu massiivisten ohjelmisto-ja ohjelmistojärjestelmien luomisen varaan näitä toimintoja varten, ja jos olet pyörittämässä massiivista yritystä, kuten Fortune500-yhtiötä, jolla on kymmeniä T-3-linjoja ja 5 000 henkilön toimisto jokaisessa 100 maassa,nämä ratkaisut ovat vain arvailuja. Onko toista keinoa?

työkalu

Lets tehdä joitakin olettamuksia siitä, millaisia ominaisuuksia ja ominaisuuksia voisi etsiä hyvin suunniteltu, mutta budjetti tietoinen palomuuri tai VPN-järjestelmä:

perustuu vankkaan käyttöjärjestelmään, jolla on kokemusta käytöstä turvallisissa järjestelmissä

Advanced, tilallinen pakettifilters and rules set

tuki liikenteen muotoiluun

tuki 802.1Q VLANs

Tuki sekä saapuvalle että lähtevälle NAT / PAT: lle (NetworkAddress Translation/Port Address Translation)

tuki avoimille standardeille (kuten RADIUS, IPSec ja PPTP)

tuki 16 käyttäjän VPN: lle • tuki IPSec / IKE

tuki langattomalle (802.11) verkot

tuki palvelun laadulle (QoS)mille tahansa sovellukselle/pakettityypille

tuki kirjaamiselle ja tarkastukselle

tuki VPN-salauksen kiihdytyslaitteistolle

reaaliaikainen liikennegrafiikka

helppokäyttöinen, web-ohjattu hallintakonsoli

tämä on lyhyt lista, mutta nämä ovat erittäin tärkeitä ominaisuuksia.Uskoisitko sen mahdollista toimittaa kuten asystem alle $300..? Itse asiassa voit.

tämä on mahdollista sulautetulla Unix-järjestelmällä nimeltä ” M0n0wall ”(kyllä, ne ovat” nollia ”eikä”ohs”).

Miksi Unix?

Unix on jo pitkään ollut tietoturva-ammattilaisten valinta tietoturvajärjestelmiin, kuten palomuureihin ja vpn-palvelimiin, kolmesta hyvin yksinkertaisesta syystä:

lähdekoodi on yleisesti saatavilla, joten koodia voidaan tutkia ja mahdollinen haavoittuvuus voidaan korjata nopeasti ja helposti.

Unix-järjestelmät ovat erittäin modulaarisia ja ne voidaan riisua suojatun Profiilin luomiseksi helposti ja tehokkaasti.

Unixia voi ajaa uskomattoman monella laitteistolla, supertietokoneista aina sulautettuihin järjestelmiin (kuten se, josta keskustelemme hetken kuluttua).

M0n0wallin Kehittäjä Manuel Kasper kehitti tämän järjestelmän käyttäen näitä Unixin ominaisuuksia, jotta hän voisi tehdä helposti saatavilla oleviin ohjelmistokomponentteihin perustuvan järjestelmän, joka voisi perustua erittäin edullisiin (mutta suorituskykyisiin) hyödykejärjestelmiin.

Putting M0n0Wall in the Test

Now, after just said that M0n0wall was a embedded firewall and VPN platform, let me back track just a little and say that using and embedded system is the way the most people use the package, but its not the only way.

mikä laitteisto?

M0n0wall on suunniteltu toimimaan useilla x86-laatikoiden muodoilla.Voit ajaa sen yksi tavallinen vanha PC, Jos haluat. Kaikki mitä tarvitset on x386 tai uudempi järjestelmä ja kaksi (tai useampia) verkkokortteja.

yleisempi tapa asettaa se on sulautettu järjestelmä tunnetaan ”Soekris box”, joka on ax86 perustuva järjestelmä saatavilla soekris Engineering. Soekrismakes useita erilaisia sulautettuja järjestelmiä, mutta niissä on kyse keskikovan kannen kirjasta.

useimpiin käyttötarkoituksiin soekris net4801 on hyvä valinta; siinä on 3 verkkoporttia, ja se voidaan varustaa salauskiihdyttimellä nopeuttamaan VPN-yhteyttä. (jos halusit luoda palomuurin langattomalle verkolle,soekris net4521: ssä on kaksi Pccardslotsia, joihin voit laittaa langattomat kortit – ja m0n0wal-ohjelmisto tietää mitä tehdä).

kun ohjelmisto on asennettu (joka tavallisella PC: llä voi olla CD-ROM; soekris-sulautetulla järjestelmällä asennat ohjelmiston 16MB: n kompaktille flash-kortille), ohjelmiston toiminta on täsmälleen sama.

miten se vaikuttaa?

M0n0wallin järjestelmä on ennen kaikkea palomuuri. Se willapply sääntöjä isäntä, portti tai paketti tasolla. Säännöt voivat olla niinkin yksinkertaisia kuin” estää kaikki liikenne ei-reititettävissä verkoissa ” niin monimutkaisia kuin perustaa moninaisia sääntöjä http (web) liikennettä mielivaltaisesta määrästä lähteistä ulos Internetissä mielivaltainen määrä isäntiä sisäisen (suojattu)verkossa. Sen avulla voit myös tarjota palvelun laatua koskevia sääntöjä liikenteelle sekä luoda omia putkia ja jonoja liikenteen jakamiseksi tietyille sovelluksille, kuten VoIP.

sääntömoottorin päälle on saatavilla VPN-järjestelmä, jonka avulla voit sekä sallia ulkopuolisten käyttäjien yhteyden 0n0walliin (joka tapauksessa poista käyttäjät, jotka käyttävät satelliittitoimistoa) tai käyttää m0n0wallia, jotta etätoimisto itse voi olla osa largerVPN: ää käyttäen IPSec (Secure IP) – tunnelia. VPN voi puhua useimmille kaupallisille seinille ja käyttää tavanomaisia todennusmenetelmiä, joten integrointi suuriin verkkoihin on saumatonta. Minulla on useita asiakkaita, jotka käyttävät m0n0wall kuin analternative kalliita Windows terminal palvelimet. Se puhuu mielellään toclient että voi

koko järjestelmän hallinta tapahtuu regularweb-selaimen kautta. (Katso galleriasta suuri määrä kuvia m0n0wallin toimimattomuudesta). Yhteys voi olla vanilla HTTP, tai vaikka turvallinen SSLconnection jos enemmän turvallisuutta tarvitaan. Lopuksi, m0n0wall mahdollistaa sekä reaaliaikaisen liikenteen graafisen, jotta järjestelmänvalvoja voi nähdä tarkalleen, mitä tapahtuu, ja järjestelmä voi kirjata tapahtumia, virheitä, turvahälytyksiä toiseen järjestelmään verkon yli auttaakseen auditoinnissa ja tietoturvan hallinnassa.

oikea työkalu oikeaan työhön?

aikana, jolloin tietoturva on uutisissa lähes joka päivä, mutta budjetit eivät ole aivan ylitsepursuavia, tietotekniikan ja turvallisuuden hallinnon on hyödynnettävä hyviä tilaisuuksia aina, kun niitä löytyy. M0n0wall on hämmästyttävä pieni paketti, joka antaa jopa suuret scalecommercial palomuuri / turvallisuus paketit ajaa rahaa. Jos sinulla on pieni ja keskikokoinen yritys tai olet suurempi organisaatio, joka etsii erittäin kustannustehokasta tapaa yhdistää etätyökoneet alueellisiin / satelliittitoimistoihin, niin M0n0wall on ehdottomasti oikea työkalu oikeaan työhön.

Vastaa

Sähköpostiosoitettasi ei julkaista.