Articles

M0n0wall i Soekris embedded firewall i vpn

w ramach mojej praktyki konsultingowej często jestem proszony o pomoc firmom w znalezieniu sposobów rozwiązania interesujących problemów z dostępem zdalnym:od zdalnych aplikacji biurowych i zdalnych, poprzez zapory dla obiektów kolokacyjnych lub między firmami, w których istnieje aplikacja do współdzielenia danych, która wymaga bezpiecznej, dedykowanej sieci punkt-punkt.

jak można sobie wyobrazić, koszty wdrożenia i zarządzania zaporami ogniowymi i sieciami VPN są zawsze wysokie na liście problemów dla firm. Łatwą odpowiedzią jest wybór bardzo dobrze znanego dostawcy sprzętu VPN lub zapory sieciowej, ale najczęściej większość dobrze znanych rozwiązań nie jest najlepszym wyborem i jest poza zasięgiem z perspektywy budżetu aIT. Następnie jest szybkość wdrożenia i dostawy, czasy związane z negocjacjami licencji oprogramowania i zakupem sprzętu czas realizacji może wziąć Wiatr w żagle wrażliwej na czas inicjatywy ładnieszybko. Na szczęście, jak wszystko w branży IT, jest coś więcej niż tylko jedna droga, aby coś zrobić.

zadanie

problemy, które mam rozwiązać w tej przestrzeni, zwykle należą do trzech ogólnych klas:

potrzeba wdrożenia bezpiecznej zapory sieciowej do małego lub średniego biura do Internetu lub do podłączenia biur satelitarnych do centralnego biura lub obiektu.

potrzeba wdrożenia szybkiego, bezpiecznego i niedrogiego systemu VPN do obsługi pracowników zdalnych na połączeniach szerokopasmowych.

potrzeba wdrożenia Firewalla niż jakości usług dla określonych aplikacji internetowych.

całe branże zostały zbudowane na stworzeniu ogromnego oprogramowania i systemów oprogramowania do wykonywania tych funkcji, a jeśli prowadzisz ogromne przedsiębiorstwo, jak firma Fortune500 z dziesiątkami linii T-3 i 5 000 biur w każdym ze 100 krajów,te rozwiązania są tylko biletem. Jest inny sposób?

narzędzie

przyjmijmy pewne założenia na temat tego, jakich funkcji i możliwości można szukać w dobrze zaprojektowanym, ale budżetowym systemie firewall lub VPN:

oparty na solidnym systemie operacyjnym z udokumentowanym wykorzystaniem w bezpiecznych systemach

zaawansowane, stateful packet filtersand rule sets

wsparcie dla Traffic Shaping

wsparcie dla 802.1Q sieci VLAN

obsługa zarówno przychodzących, jak i wychodzących NAT / PAT (tłumaczenie adresów sieci / tłumaczenie adresów portów)

Obsługa otwartych standardów (takich jak RADIUS, IPSec i PPTP)

Obsługa 16 użytkowników VPN • Obsługa IPSec/IKE

Obsługa sieci bezprzewodowej (802.11) Sieci

wsparcie dla jakości usług (QoS)dla dowolnej aplikacji/typu pakietu

wsparcie dla logowania i audytu

wsparcie dla akceleracji szyfrowania VPN sprzętowa

wykresy ruchu w czasie rzeczywistym

łatwa w użyciu, webowa konsola zarządzania

jest to krótka lista, ale są bardzo ważne funkcje.Czy uwierzysz, że możliwe jest dostarczenie takiego systemu za mniej niż $300..? Właściwie to możesz.

jest to możliwe z wbudowanym Unixsystemem o nazwie „m0n0wall”(tak, są to „zera” zamiast „ohs”).

Dlaczego Unix?

Unix od dawna jest wyborem dla specjalistów ds. bezpieczeństwa dla rozwoju bezpiecznych systemów, takich jak zapory sieciowe i serwery VPN z trzech bardzo prostych powodów:

kod źródłowy jest ogólnie dostępny, więc kod można zbadać, a każda luka, która się pojawi, może być szybko i łatwo usunięta.

Systemy Unix są niezwykle modularne i można je usunąć, aby łatwo i skutecznie utworzyć bezpieczny profil.

Unix można uruchomić na niesamowitym sprzęcie, od superkomputerów aż po systemy wbudowane(takie, które omówimy za chwilę).

twórca M0n0wall, Manuel Kasper opracował ten system wykorzystując te cechy Uniksa, aby mógł stworzyć bezpieczny system oparty na łatwo dostępnych komponentach oprogramowania, które mogłyby być oparte na bardzo niedrogich (a jednocześnie wysokowydajnych) systemach towarowych.

testowanie M0n0Wall

teraz, po prostu powiedziawszy, że M0n0wall był wbudowaną zaporą ogniową i platformą VPN, pozwólcie, że cofnę się trochę i powiem, że korzystanie z systemu wbudowanego jest sposobem, w jaki większość ludzi korzysta z pakietu, ale nie jest to jedyny sposób.

jaki sprzęt?

M0n0wall jest przeznaczony do pracy na kilku formach skrzynek x86.Możesz uruchomić go jeden zwykły stary komputer, jeśli chcesz. Wszystko czego potrzebujesz to system x386 lub wyższy i dwie (lub więcej) Karty sieciowe.

bardziej powszechnym sposobem konfiguracji jest system wbudowany znany jako „soekris box”, który jest systemem opartym na ax86 dostępnym od Soekris Engineering. Soekris tworzy kilka różnych rodzajów systemów wbudowanych, ale chodzi o rozmiar książki o średniej twardej okładce.

dla większości zastosowań soekris net4801 jest dobrym wyborem; posiada 3 porty sieciowe i może być wyposażony w akcelerator szyfrowania, aby przyspieszyć dostęp do VPN. (jeśli chcesz utworzyć zaporę sieci bezprzewodowej,soekris net4521 ma dwie karty PCCardslots, w których można umieścić karty bezprzewodowe-a oprogramowanie m0n0wal będzie wiedzieć, co robić).

po zainstalowaniu oprogramowania (które na zwykłym komputerze może być połączone z płytą CD-ROM; na soekris embedded system można zainstalować oprogramowanie na karcie compact flash 16MB) działanie oprogramowania jest dokładnie takie samo.

Jak to działa?

system M0n0wall to przede wszystkim firewall. Będzie stosować reguły na poziomie hosta, portu lub pakietu. Reguły mogą być tak proste, jak „blokowanie całego ruchu z sieci nie routowalnych” do tak skomplikowanych, jak konfigurowanie wielu reguł dla ruchu http (www) z dowolnej liczby źródeł outon Internetu do dowolnej liczby hostów w wewnętrznej (chronionej)sieci. Pozwoli to również na zapewnienie zasad jakości usług dla ruchu drogowego, a także stworzenie dedykowanych rur i kolejek do przydzielania ruchu dla określonych aplikacji, takich jak VoIP.

oprócz silnika reguł dostępny jest system VPN, którego można użyć, aby umożliwić zewnętrznym użytkownikom łączenie się z them0n0wall (co w przypadku usuwania użytkowników uzyskujących dostęp do biura satelitarnego) lub używać M0n0wall, aby umożliwić samo zdalne Biuro być częścią largerVPN za pomocą tunelu IPSec (Secure IP). VPN może rozmawiać z większością komercyjnych firewalli i używa standardowych metod uwierzytelniania, więc integracja z largernetworks jest bezproblemowa. Mam wielu klientów, którzy używają m0n0wall jako analternative do drogich serwerów terminali Windows. Będzie to szczęśliwie mówić toclient, że może

zarządzanie całym systemem odbywa się za pośrednictwem regularnej przeglądarki internetowej. (W galerii znajduje się duża liczba zdjęć m0n0wall). Połączenie może być z vanilla HTTP, lub poprzez bezpieczne SSLconnection, jeśli wymagane jest większe bezpieczeństwo. Wreszcie, M0n0wall umożliwia zarówno grafikę ruchu w czasie rzeczywistym, dzięki czemu administrator może dokładnie zobaczyć,co się dzieje, a system może rejestrować zdarzenia, błędy, alerty bezpieczeństwa do innego systemu przez sieć, aby pomóc w audytowaniu i zarządzaniu bezpieczeństwem.

właściwe narzędzie do właściwego zadania?

w czasach, gdy bezpieczeństwo informacji jest prawie codziennie w wiadomościach, ale budżety nie są dokładnie przepełnione nadmiarem, administratorzy IT i bezpieczeństwa muszą korzystać z dobrych okazji, gdy tylko mogą je znaleźć. M0n0wall to niesamowity mały pakiet, który daje nawet dużą skalęcommercial firewall / pakiety bezpieczeństwa uruchomić za swoje pieniądze. Jeśli masz małą lub średnią firmę lub większą organizację, która szuka bardzo opłacalnego sposobu na podłączenie pracowników zdalnych do biur regionalnych/satelitarnych, to M0n0wall jest zdecydowanie właściwym narzędziem do właściwej pracy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.