Articles

m0n0wall și soekris embedded firewall și VPN

ca parte a practicii mele de consultanță, mi se cere adesea să ajutîntreprinderile să găsească modalități de a rezolva probleme interesante de acces la distanță:totul, de la telecomunicații și aplicații de birou la distanță, prin firewallsfor facilități de co-locație sau între întreprinderi în care există o aplicație de partajare a datelor care are nevoie de o rețea sigură, dedicată punct-la-punct.

după cum ne putem imagina, costurile de implementare și gestionare a firewall-urilor și VPN-urilor sunt întotdeauna ridicate pe lista de probleme pentru companii. Un răspuns ușor este să mergeți cu unii foarte cunoscuțihigh – end VPN hardware sau Firewall furnizor, dar cel mai adesea, majoritateasoluțiile bine cunoscute nu sunt atât cea mai bună alegere, cât și în afara intervalului din perspectiva bugetului aIT. Apoi, există viteza de implementare și de livrare, thelead times implicate negocieri de licență de software și hardware-ul de cumpărare leadtimes poate lua vântul vele de inițiativă sensibile la timp prettyquickly. Din fericire, ca orice în afacerea IT, există mai mult decât unulmod de a face ceva.

treaba

problemele pe care mi se cere să le rezolv în acest spațiu se încadrează, de obicei, în trei clase generale:

necesitatea de a implementa un firewall securizat pentru a asmall – to medium-office la Internet sau pentru a conecta birourile prin satelit la un birou sau o facilitate centrală.

necesitatea de a implementa un sistem VPN rapid, sigur și ieftinpentru a sprijini telecommuters pe conexiuni în bandă largă.

necesitatea de a implementa un firewall decât poatefurniza calitatea serviciului pentru aplicații Internet specifice.

industrii întregi au fost construite pe crearea de sisteme hardware și software masive pentru a îndeplini aceste funcții și, dacă conduceți o întreprindere masivă, cum ar fi o companie Fortune500 cu zeci de linii T-3 și 5.000 de birouri în fiecare din cele 100 de țări,aceste soluții sunt doar biletul. Există o altă cale?

instrumentul

vă permite să facă unele presupuneri despreCe fel de caracteristici și capabilități s-ar putea căuta într-un firewall sau VPN sistem bine conceput,dar bugetul conștient:

bazat pe o oystem de operare robust, cu un palmares de utilizare în sisteme sigure

avansate, filtre de pachete statefulși seturi de reguli

suport pentru modelarea traficului

suport pentru 802.1Q VLAN-uri

suport atât pentru intrare, cât și pentru ieșire NAT/PAT (traducere rețea / traducere adresă Port)

suport standarde deschise (cum ar fi RADIUS, IPSec și PPTP)

suport pentru 16 VPN utilizator • Suport pentru IPSec/Ike

suport pentru wireless (802.11) rețele

suport pentru calitatea serviciului (QoS)pentru orice tip de aplicație/pachet

suport pentru logare și audit

suport pentru hardware-ul de accelerare a criptării VPN

grafice de trafic în timp real

ușor de utilizat, consola de administrare web-driven

aceasta este o listă scurtă, dar acestea caracteristici foarte importante.Ați crede că este posibil să livrați un astfel de sistem pentru sub 300 USD..? Ei bine, de fapt, poți.

acest lucru este posibil cu un unixsystem încorporat numit „M0n0wall”(Da, Acestea sunt „zerouri” în loc de „ohs”).

De Ce Unix?

Unix a fost mult timp alegerea pentruprofesioniștii de securitate IT pentru dezvoltare sisteme sigure precum firewall-uri șiserverele VPN din trei motive foarte simple:

codul sursă este în general disponibil, astfel încât Codul să poată fi examinat și orice vulnerabilitate care apare poate fi abordată rapid și ușoradresat.

sistemele Unix sunt extrem de modulareși pot fi dezbrăcate pentru a crea un profil sigur ușor și eficient.

Unix poate fi rulat pe o gamă incredibilă de hardware, de la supercomputere până la sisteme încorporate(cum ar fi cel pe care îl vom discuta într-o clipă).

dezvoltatorul M0n0wall, Manuel Kasper a dezvoltat acest sistemfolosind aceste caracteristici ale Unix, astfel încât să poată face un sistem sigur bazat pe componente software ușor disponibile, care ar putea fi găzduite pe sisteme de mărfuri foarte ieftine (dar de înaltă performanță).

punerea M0n0Wall la testul

acum, având doar a spus că M0n0wallwas un firewall încorporat și VPN platformă, permiteți-mi backtrack doar un pic șispune că utilizarea și sistemul încorporat este modul în care majoritatea oamenilor folosesc pachetul, dar nu este singura cale.

ce hardware?

M0n0wall este proiectat pentru a rula pe mai multe forme de cutii x86.Puteți rula unul un PC vechi regulat, dacă doriți să. Tot ce aveți nevoie este un sistem x386 sau mai mare și două (sau mai multe) plăci de rețea.

o modalitate mai obișnuită de a o configura Este pe un sistem embedded cunoscut sub numele de „Soekris box”, care este un sistem bazat pe ax86 disponibil de la Soekris Engineering. Soekrismakes mai multe tipuri diferite de sisteme încorporate, dar acestea sunt toate despre thesize de o carte hard-cover mediu.

pentru cele mai multe utilizări soekris net4801 este ago alegere bună; are 3 porturi de rețea și poate fi echipat cu un accelerator de criptare pentru a accelera accesul VPN. (dacă doriți să creați un firewall pentru o rețea fără fir,Soekris net4521 are două PCCardslots în care puteți pune carduri wireless – iar software-ul M0n0wal va ști ce să facă).

odată ce software-ul este instalat (care pe un PC obișnuit poate fi făcut cu un CD-ROM; pe sistemul încorporat Soekris, ați instala software-ul pe un card flash compact de 16 MB) funcționarea software-ului este exact aceeași.

cum funcționează?

sistemul M0n0wall este în primul rând un firewall. Acesta vaaplicați reguli la nivel de gazdă, port sau pachet. Regulile pot fi la fel de simple ca”blocați tot traficul din rețele nerutabile” la fel de complicat ca configurareareguli multiple pentru traficul http (web) de la un număr arbitrar de surse dinpe Internet la un număr arbitrar gazde din rețeaua dvs. internă (protejată). De asemenea, vă va permite să furnizați reguli de calitate a serviciilor trafficprecum și conducte dedicate create și cozi pentru repartizarea traficului pentru aplicații specifice, cum ar fi VoIP.

în partea de sus a motorului de reguli este disponibil un sistem VPN pe care îl puteți utiliza pentru a permite utilizatorilor externi să se conecteze la theM0n0wall (care, în cazul eliminării utilizatorilor care accesează un birou prin satelit) sauchiar utilizați M0n0wall pentru a permite Biroului de la distanță să facă parte dintr-un mai marevpn folosind un tunel IPSec (Secure IP). VPN poate vorbi cu cele mai multe commercialfirewalls și utilizează metode standard de autentificare, astfel încât integrarea în rețelele mai mari este fără probleme. Am un număr de clienți care folosesc m0n0wall ca analternative la servere scumpe terminale Windows. Se va vorbi fericit toclient care poate

gestionarea întregului sistem se face printr-un browser web regulat. (A se vedea galeria pentru un număr mare de imagini ale inacțiunii M0n0wall). Conexiunea poate fi cu vanilie HTTP, sau deși o SSLconnection sigură dacă este necesară mai multă securitate. În cele din urmă,M0n0wall permite ambele grafice de trafic în timp real, astfel încât un administrator să poată vedea exact ce se întâmplă, iar sistemul poate înregistra evenimente, erori, alerte de securitate către un alt sistem prin rețea pentru a ajuta la audit și gestionarea securității.

instrumentul potrivit pentru jobul potrivit?

într-un moment în care securitatea informațiilor este în știri aproape în fiecare zi, dar bugetele nu sunt tocmai debordante de exces, IT și Securitateadministratorii trebuie să profite de oportunități bune ori de câte ori le pot găsi. M0n0wall este un pachet uimitor mic, care oferă chiar și scalecommercial firewall mare/pachete de securitate o centrare pentru banii lor. Dacă aveți o afacere de dimensiuni mici și mijlocii sau sunteți o organizație mai marecăutând o modalitate foarte rentabilă de a conecta telecommuterii la birourile regionale/satelit, atunci M0n0wall este cu siguranță instrumentul potrivit pentru locul de muncă potrivit.

Lasă un răspuns

Adresa ta de email nu va fi publicată.