Articles

m0n0wall en Soekris embedded firewall en VPN

als onderdeel van mijn consulting praktijk word ik vaak gevraagd om te helpen bedrijven erachter te komen manieren om interessante remote access problemen op te lossen:alles van telewerken en remote office applicaties, via firewallsvoor co-locatie faciliteiten of tussen bedrijven waar er een aantal datasharing applicatie die een veilige, dedicated point-to-point netwerk nodig heeft.

zoals je je kunt voorstellen, staan de kosten van de implementatie en het beheer van firewalls en VPN ‘ s altijd hoog op de lijst van problemen voor bedrijven. Een eenvoudig antwoord is om te gaan met een aantal zeer bekende high-end VPN hardware of Firewall leverancier, maar vaker wel dan niet, de meeste van thewell know oplossingen zijn zowel niet de beste keuze, en ver buiten bereik van aIT budget perspectief. Dan is er de snelheid van de implementatie en levering, De levertijden betrokken software Licentie onderhandelingen en hardware aankoop doorlooptijden kan de wind van de zeilen van tijdgevoelige initiatief pretty quickly nemen. Gelukkig, zoals alles in de IT-business, is er meer dan één weg om iets gedaan te krijgen.

de taak

de problemen die ik in deze ruimte moet oplossen, vallen meestal in drie algemene klassen:

de noodzaak om een veilige firewall in te zetten om een klein tot middelgroot kantoor op het Internet te plaatsen of satellietkantoren aan te sluiten op een centraal kantoor of faciliteit.

de noodzaak om een snel, veilig en goedkoopevpn-systeem in te zetten ter ondersteuning van telewerkers op breedbandverbindingen.

de noodzaak om een firewall dan candeliver Quality of Service in te zetten voor specifieke internettoepassingen.

hele industrieën zijn gebouwd op de creatie van massieve software-en softwaresystemen om deze functies uit te voeren, en als je een enorme onderneming runt, zoals een Fortune500 bedrijf met tientallen t-3-lijnen, en5.000 kantoren in elk van 100 landen,zijn deze oplossingen slechts hetticket. Is er een andere manier?

het gereedschap

laten we een aantal veronderstellingen maken over wat voor soort functies en mogelijkheden men zou kunnen zoeken in een goed ontworpen,maar budgetbewuste firewall of VPN-systeem:

gebaseerd op een robuuste operationele oystem met een track record van gebruik in veilige systemen

geavanceerde, stateful packet filtersand rule sets

ondersteuning voor Traffic Shaping

ondersteuning voor 802.1Q VLANs

ondersteuning voor zowel inkomende als uitgaande NAT/PAT (Networkaddress Translation / Port Address Translation)

ondersteuning voor open standaarden (zoals RADIUS, IPSec en PPTP)

ondersteuning voor 16 gebruikers VPN • ondersteuning voor IPSec/IKE

ondersteuning voor draadloos (802.11) Networks

Support for Quality of Service (QoS)for any application/packet type

Support for logging and auditing

Support for VPN encryption acceleration hardware

Real-time traffic graphing

Easy to use, web-driven management console

Dit is een korte lijst, maar dit zijn zeer belangrijke functies.Zou je geloven dat het mogelijk is om te leveren zoals een systeem voor minder dan $ 300..? Dat kun je wel.

Dit is mogelijk met een ingebed Unixsysteem genaamd ” M0n0wall “(ja, dat zijn” nullen “in plaats van”ohs”).

Waarom Unix?

Unix is al lang de keuze voor IT-beveiligingsprofessionals voor de ontwikkeling van veilige systemen zoals firewalls envpn-servers om drie zeer eenvoudige redenen:

de broncode is over het algemeen beschikbaar, zodat code kan worden onderzocht en elke kwetsbaarheid die zich voordoet snel en eenvoudig kan worden aangepakt.

Unix-systemen zijn uiterst modulair en kunnen eenvoudig en effectief worden afgebroken om een veilig profiel aan te maken.

Unix kan draaien op een ongelooflijke reeks hardware, van supercomputers tot embedded systemen(zoals die we zo zullen bespreken).

de ontwikkelaar van M0n0wall, Manuel Kasper, ontwikkelde dit systeem met behulp van deze functies van Unix, zodat hij een veilig systeem kon maken gebaseerd op gemakkelijk beschikbare softwarecomponenten die geschikt waren voor zeer goedkope (maar krachtige) commodity-systemen.

m0n0wall op de proef stellen

nu ik net gezegd heb dat m0n0wall een embedded firewall en VPN platform was, laat ik even terug gaan en zeggen dat het gebruik van en embedded systeem de manier is waarop de meeste mensen het pakket gebruiken, maar het is niet de enige manier.

welke hardware?

M0n0wall is ontworpen om te draaien op verschillende vormen van x86-dozen.Je kunt het een gewone oude PC draaien als je wilt. Alles wat je nodig hebt is een x386 of hoger systeem en twee (of meer) netwerkkaarten.

een meer gebruikelijke manier om het op te zetten is op een embedded systeem dat bekend staat als een “Soekris box”, een ax86 gebaseerd systeem dat beschikbaar is bij Soekris Engineering. Soekris maakt verschillende soorten embedded systemen, maar ze gaan allemaal over het formaat van een medium hardcover boek.

voor de meeste toepassingen is soekris net4801 een goede keuze; het heeft 3 netwerkpoorten en kan worden uitgerust met een coderingsversneller om VPN-toegang te versnellen. (als u een firewall voor een draadloos netwerk wilt maken, heeft de Soekris net4521 twee PCCardslots waarin u draadloze kaarten kunt plaatsen-en de m0n0wal software weet wat te doen).

zodra de software is geïnstalleerd (die op een gewone PC met een CD-ROM kan worden geà nstalleerd; op het Soekris embedded systeem zou u de software op een 16MB compact flash kaart installeren) is de werking van de software precies hetzelfde.

Hoe werkt het?

het m0n0wall-systeem is in de eerste plaats een firewall. Het zal regels toepassen op een host, poort of pakketniveau. De regels kunnen zo eenvoudig zijn als “blokkeer al het verkeer van niet-routeerbare netwerken” tot zo ingewikkeld als het instellen van meerdere regels voor http (web) verkeer van een willekeurig aantal bronnen op het Internet naar een willekeurig aantal hosts op uw interne (beveiligde)netwerk. Het zal u ook toestaan om de kwaliteit van de dienst regels te bieden aan trafficas ook gemaakt speciale leidingen en wachtrijen om het verkeer toe te wijzen voor specifieke toepassingen, zoals VoIP.

bovenop de rules engine is een VPN-systeem beschikbaar dat u kunt gebruiken om zowel externe gebruikers in staat te stellen verbinding te maken met de “0n0wall” (wat in het geval van gebruikers die toegang hebben tot een satelliettelevisie) of om de “M0n0wall” te gebruiken om het “remote office” zelf toe te staan deel uit te maken van een grotere server met behulp van een IPSec (Secure IP) tunnel. De VPN kan met de meeste commerciële firewalls spreken en gebruikt standaard verificatiemethoden, zodat integratie in grotere netwerken naadloos verloopt. Ik heb een aantal klanten die m0n0wall gebruiken als alternatief voor dure Windows terminal servers. Het zal blij spreken met klanten die

het beheer van het hele systeem gebeurt via een reguliere webbrowser. (Zie de galerij voor een groot aantal foto ‘ s van de m0n0wall nietsdoen). De verbinding kan worden met vanilla HTTP, of via een beveiligde SSLconnection als er meer beveiliging nodig is. Tot slot, de M0n0wall maakt het mogelijk voor bothreal-time verkeer grafisch, zodat een beheerder kan precies zien wat er gaande is, en het systeem kan gebeurtenissen, fouten, beveiligingswaarschuwingen loggen naar een ander systeem over het netwerk om te helpen met auditing en security management.

het juiste gereedschap voor de juiste taak?

in een tijd waarin informatiebeveiliging bijna elke dag in het nieuws is, maar de budgetten niet bepaald overvol zijn, moeten IT-en Veiligheidsadministrators profiteren van goede kansen wanneer zij die kunnen vinden. M0n0wall is een geweldig klein pakket dat zelfs grote schaal geeft commerciële firewall / beveiliging pakketten een run voor hun geld. Als u een klein tot middelgroot bedrijf hebt of een grotere organisatie bent die op zoek is naar een zeer kosteneffectieve manier om telewerkers aan te sluiten op regionale/satellietkantoren, dan is M0n0wall zeker het juiste gereedschap voor de juiste baan.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.