Katedra za informacione tehnologije Laboratorija za multimedijalne komunikacije

Projektni rad iz predmeta Raunarske mree 2

Uporedni test: konfiguracija PIX Firewall na Windows platformi i odgovarajueg reenja na Linux platformi

Student: Darko Mili

Mentor: prof Bojan Jovanovi

Beograd, 2013.

SADRAJ

SADRAJ ............................................................................................................................................ 2 OPIS PROJEKTA .......................................................................................................................... 3 1. PIX FIREWALL ........................................................................................................................ 4 1.1 Uvod ............................................................................................... 4 1.2 Opis operacije ................................................................................. 4 1.3 CISCO PIX modeli ......................................................................... 5 1.4 PIX Terminologija i Background Informacije ................................ 6 1.5 Izgled PIX hardvera ........................................................................ 8 1.6 PIX Konfiguracija ......................................................................... 10

2. SMOTHWALL LINUX BASED FIREWALL .................................................................... 15 2.1 Uvod ............................................................................................. 15 2.2 Opta specifikacija ....................................................................... 15 2.3 Potrebe za Smothwall .................................................................. 15 2.4 Topologija ................................................................................... 16 2.5 Umreavanje ................................................................................ 16 2.6 Web interfejs i upravljanje .......................................................... 17

3. Korienje Cisco PIX firewall-a i Smothwall-a u realnoj topologiji preko GNS 3 mrenog simulatora ..................................................................................................................................... 22 3.1 Topologija ..................................................................................... 22 3.2 Cisco PIX firewall ........................................................................ 22 3.3 SmothWall konfiguracija ...... 25

2|Strana

Opis projekta:
Za izradu projekta koristi se simulacija Akademske raunarske mree RCUB odakle se izdvaja jedan deo mree gde se nalazi odgovarajue reenje za filtriranje saobraaja ka internetu. Bie sagledana dva reenja. Prvo reenje je konfiguracija PIX firewall na Windows platformi. Drugo reenje je Linux platforma i odgovarajue open-source reenje.

3|Strana

1. PIX Firewall
1.1 Uvod: Cisco PIX je popularni IP firewall (fejervol bukvalni prevod vatreni zid) i NAT ureaj. Jedan je od prvih ureaja ovakve vrste na tritu. 2005. godine Cisco je prestavio noviju verziju aplikacije pod nazivom Cisco Adaptive Security Appliance (ASA) koja je sadrala mnogo karakteristika PIX-a a 2008. godine su objavili poslednju verziju PIX koji se do danas nita znaajnije nije menjao. PIX tehnologija se i dan danas izuzetno dobro prodaje pogotovu zbog njegove usluge FireWall Services Module (FWSM) koje je implementirana u novijim softverima Cisco Catalyst 6500 i serije rutera 7600. 1.2 Opis operacije: PIX se prvobitno pokretao posebno prilagoenim operativnim sistemom koji je nazvan Finese (Fast InterNEt Server Executive ), ali sada je to softver poznat pod nazivom PIX OS. Klasifikovan je kao zatitni zid (firewall) mrenog sloja, iako tehniki PIX pripada 4. sloju, tj. zatitni zid Transportnog Sloja zato to njegov pristup nije ogranien na rutiranju Mrenog sloja ali je socket-based konekcija ( port i IP adresa koji inae pripadaju 4. sloju). Inae PIX dozvoljava unutranjim konekcijama spoljanje konekcije i dozvoljava samo dolazni saobraaj koji je odgovor na punovanost zahteva ili je dozvoljeno od strane Liste za Kontrolu pristupa (ACL- Access Control List) . PIX moe biti konfigurisan da obavlja mnoge funkcije: Network Address Translation (NAT) or Port Address Translation (PAT) filtriranje sadraja (Java/ActiveX) URL filtriranje IPsec VPN podrka za vodea X.509 PKI reenja DHCP client/server PPPoE podrka napredno obezbeenje servisa za multimedijalne aplikacije i protokole ukljuujui Voice over IP (VoIP), H.323, SIP, Skinny and Microsoft NetMeeting AAA (RADIUS/TACACS+) integracija

PIX-om moe i grafiki da se upravlja koristei integrisani Web orijentisani menadment intefejs pod nazivom PIX Device Manager (PDM) ili Cisco Secure Policy Manager 2.3f i 3.0f (ne treba biti zbunjen sa CSPM 2.3.3i koji je namenjen za sistem za upravljanje detekcije upada). PDM je PIX specifikovan konfiguracioni i upravljaki ureaj a CSPM se uglavnom koristi kao deo vee infrastructure upravljanja bezbednou i omoguava korelaciju organizacione politike bezbednosti sa PIX konfiguracijom. Menadment interfejsi ukljuuju interfejs komandne linije (CLI), telnet, Secure Shell (SSH 1.5), console port, SNMP, and syslog.

4|Strana

1.3 CISCO PIX modeli:

Cisco PIX Model Ocenjena propusna mo 1 Gbps + PIX 535 do 95 Mbps 3DES VPN, 2000 IPsec tunnels 500,000 Neki modeli sadre stanja visoko dostupnih mogunosti, kao i integrisanu hardversku akceleraciju za VPN.Modularna asija, do 10 10/100 Fast Ethernet interfejsima ili 9 Gigabit Ethernet interfejsa. Konkurentna Opis Konekcija

360 Mbps + PIX 525 do 70 Mbps 3DES VPN, 2000 IPsec tunnels 280,000 Neki modeli sadre stanja visoko dostupnih mogunosti, kao i integrisanu hardversku akceleraciju za VPN.Modularna asija, sve do 8 10/100 Fast Ethernet interfejsa ili 3 Gigabit Ethernet interfejsa.

PIX 515E

188 Mbps +

125,000

Neki modeli sadre stanja visoko dostupnih mogunosti,I integrisanu podrku za 2,000 IPsec tunelovanje. Modularna asija, sve do est 10/100 Fast Ethernet interfejsa.

PIX 506E

20 Mbps +, 16 Mbps 3DES VPN

Kompaktna desktop asija, dva auto-sensing 10Base-T interfejsa.

PIX 501

10 Mbps +, 3 Mbps 3DES VPN

Kompaktni plug-n-play sigurnosni ureaj, integrisana 4-port Fast Ethernet (10/100) svia and jedan 10Base-T interfejs.

tabela 1 PIX modeli i njihova specifikacija

5|Strana

1.4 PIX Terminologija i Background Informacije Naredni dijagram pokazuje multiportni PIX koji je konektovan na razliite mree. Koristiu dijagram mree na kojoj u kasnije objasniti PIX konfiguraciju i sve subsekvencijalne PIX delove.

slika 1 Primer mree 1. (dijagram mree)

6|Strana

PIX terminologija Generalno se odnosi na korisniki segment kao unutranjoj podmrei. Interfejs koji je povezan na Internet ruter je van podmree. Kao to se vidi, mi smo u verovatno DMZ ( Demilitarizovanoj zoni) podmrei. Ta podmrea je karantin za sve servere koji su dostupni spolja. Takoe nalazi se jedna podmrea as odvojenim menadmentom i podmrea vezana za redudantni PIX za prevazilaenje greaka ( naravno ukoliko je podrana tj. licencirana). PIX Command-Line Interface (CLI) je neto kao CISCO IOS Interface ali drugaije. Koristi se znak ( : ) dvotaka za komentare. Noviji PIX OS koristi ACL-e , zamenjujui prethodne vodove (koji su esto bili zbunjujui i za iskusne CISCO ruter administratore). PIX interfejsi su normalno ugaeni, dok ih administrator ne aktivira. PIX interfejsi imaju povezani sistem bezbednosti. Dva interfejsa na istom nivou ne mogu jedan drugom da alju pakete. Uskoro u pokazati kako sam podesio nivoe sa nameif komandom. Veze i saobraaj su normalno dozvoljeni od interfejsa vieg do interfejsa nieg nivoa bezbednosti, iako moramo da podesimo osnovnu konfiguraciju da dozvoljavamo protok saobraaja. Veze na drugi nain su zabranjene ukoliko nije izriito konfigurisano da se dozvoljavaju ( od nie do vie bezbednosti ). Zapravo ne mora biti postavljen i konfigurisan bilo koji ACL ukoliko se ide od vieg ka niem bezbednosnom nivou. Sve e biti dozvoljeno. Ipak, najbolja veba je da se postavi ACL na svim interfejsima ak i na onima gde ACL dozvoljava protok svega i svaega kako je to nazvano IP ANY ANY. ACL-e postavljaju dolazei saobraaj (PIX jedino radi sa dolazeim ACL-ma) na unutranju stranu interfejsa gde se moe kontrolisati saobraaj koji je usmeren van mree tj. u veini sluajeva ka internetu. Ukoliko administrator mree eli samo da samo ima WWW i DNS ide van on e dopustiti samo TCP na portu 80 i UDP na 53 a ostali saobraaj e biti odbijen ukoliko ide van mree. Da bi se pustio protok saobraaja sa vieg nivoa bezbednosti na nii koristimo NAT i globalne komande. Za suprotan smer, za saobraaj koji je usmeren od nieg ka viem nivou bezbednosti koriste se STATIC i ACCESS-LIST komande. Predlaem korienje NAT-a i globalnih komandi kad je saobraaj usmeren od bilo kog ne-spoljanjeg interfejsa ka bilo kom spoljanjem interfejsu ( u veini sluajeva je to ka internetu osim ako PIX nije postavljen tako da se koristi kao granica izmeu vie poslovnih jedinica) to je malo drugaiji metod nego kao to je napisano iznad. Takoe predlaem korienje statikih za bilo koji saobraaj koji ide od bilo kog ne-spoljanjeg interfejsa ka bilo kom ne spoljanjem interfejsu (kao to je na primer menadment unutar Etherneta3 ili Etherneta 4 ). PIX normalno koristi postavljene NAT konekcije i postavljenu bezbednost koja odgovara Adaptive Security Algorithm (ASA) . PIX ne proputa multicast saobraaj.

7|Strana

Elem, kao i svaka kompanija koja daje preporuke za korienje svojih proizvoda tako i CISCO kompanija je dala preporuku da se ne koristi dinamiko rutiranje preko PIX-a. PIX podrava RIP protokol ali iz nekog razloga autori mrzi RIP protokol. Jo jedan od razloga je i taj jer su statike rute mnogo sigurnije I ne mogu biti lako prevarene.
slika 2. Logo CISCO kompanije

1.5. Izgled PIX hardvera Na narednim slikama u prikazati izgled PIX Firewall-a 501 i ASA 5505.

slika 4. CISCO PIX 501

8|Strana

slika 5. CISCO ASA 5505

9|Strana

1.6. PIX Konfiguracija Prikazau primer konfiguracije PIX-a na mrei koju sam dao na dijagramu. Kao prvo, ulazimo u konfiguracioni mod komandom config t . Zatim moemo postaviti imena hostova tj. promt imena tako da uvek znamo na kom ureaju se nalazimo. Kada smo iskonfigurisali imena moramo postaviti ifre da bi ograniili pristup.
Komanda Objanjenje komande

enable Setujemo postavljanje ifre, tj. lozinke, potvruje se sa encrypted. Prikazuje se u ifrovanom password obliku uz re encrypted na kraju. Imajte na umu da kada se unosi komanda ostavite myEnableSecret encrypted kljunu re ili e PIX pretpostaviti da je string koji je unet enkripcija stalne lozinke. encrypted passwd myLoginSecret encrypted hostname UNIT1

Podeavanje lozinke za korisniki mod, to je prva ifra kada se koristi Telnet mod. Imajte na umu da kada se unosi komanda ostavite encrypted kljunu re ili e PIX pretpostaviti da je string koji je unet enkripcija stalne lozinke. Podeava se ime hosta. Najbolje je da se ime postavi tako oprezno da ne dovodi u zabunu kasnije.

PIX dozvoljava da se podesi tabela hostova tako da je pogodno za upravljanje. Zato to nema konekcija sa DNS-om ili sa hostovima na UNIX serverima, korienje ove komande je pravi blagoslov. ini konfiguraciju mnogo itljivijom ali uvodi jo jedan nivo administracije.Ne mora se samo dodavati i brisati IP adrese u naoj konfiguraciji kao do sada. Sa ovom komandom, takoe se moe obezbediti da se imena hostova podudaraju sa postojeim imenima.

Komanda

Objanjenje komande Mapiranje adrese do imena

name 10.3.3.22 DMZWEBSERVER name 10.1.1.82 INTERNALDNSHOST name 10.1.1.79 INTERNALORACLEHOST name 10.1.1.71 INTERNALNTPHOST name 1.1.1.5 EXTERNALSMTPHOST name 1.1.1.22 EXTERNALWWWHOSTNAME

10 | S t r a n a

Da bi pokrenuli podeavanje podrazumevane PIX konfiguracije, prvo se daju imena interfejsima i dodeljuju im se sigurnosni tj. bezbednosni nivoi (0 = najmanje poverenja; 100 = najvie poverenja). Mi tada i navodimo brzinu za svaki interfejs paljivo ostavljajui podrazumenu komandu shutdown da bi smo na kraju aktivirali interfejs. Ovo radimo za svaki interfejs koji emo koristi. Imamo i jedan neiskorieni interfejs koji smo ugasili. Zatim dodeljujem IP adrese interfejsima koji e nositi IP saobraaj. Jedan trik se moe iskoristiti na ugaenom interfejsu i dodeliti mu LOOPBACK adresu 127.0.0.1 . Ovo spreava sluajno prosleivanje saobraaja kroz taj interfejs.
Command Command Explanation

nameif ethernet0 outside Definie ime Ethernet0 i nivo sigurnosti. security0 nameif ethernet1 inside security100 nameif ethernet2 management security90 nameif ethernet3 dmz security30 nameif ethernet4 pix_failover security40 nameif ethernet5 not_in_use security20 interface ethernet0 100full interface ethernet1 100full interface ethernet2 100full interface ethernet3 100full interface ethernet4 100full interface ethernet5 100full shutdown ip address outside 1.1.1.1 255.255.255.0 ip address inside 10.1.1.1 255.255.255.0 ip address management 10.2.2.1 255.255.255.0 ip address dmz 10.3.3.1 255.255.255.0 ip address pix_failover 10.4.4.1 255.255.255.0
Indentifikuje brzinu mrenog interfejsa i dupleks. Obratite panju na to da ovaj interfejs mora biti podeen na 100 i na pun dupleks za odgovarajue aplikacije ili prevazilaenje greaka. Obratiti panju na to da je ovaj interfejs neaktivan (SHUTDOWN). Dodeljena IP adresa i subnet maska. Konektovali smo Ethernet4 na naredni PIX koji je sposoban za prevazilaenje greaka. Ime pokazuje to. Trenutno nije u funkciji. Indentifikuje brzinu mrenog interfejsa i dupleks. Aktiviran interfejs.

11 | S t r a n a

Nakon to je PIX adresiran, treba razmisliti o tome ta da se uradi sa adresama ostalih ureaja. Da li treba da uradimo NAT ? NAT iliti Network Address Translation omoguava da vasa mrea ima IP emu adresiranja i fajervol (firewall) tj. zatitni zid titi te adrese od vidjenja sa drugih eksternih mrea. Ukoliko imamo globalno Internet adresiranje i ne elimo da re-adresiramo nae kompjutere, mi moemo dodeliti NAT-u ID 0 ime bi unutar PIX-a iskljuili NAT. Pretpostavimo da na naem primerku konfiguracije elimo da uradimo NAT ( a inae bi to i morali da uradimo jer je 10.0.0.0/8 privatni opseg adresa). Obino se postavlja komanda global na bilo kom interfejsu nie sigurnosti gde elimo da nai interni korisnici imaju pristupa mada bi statika bila bolja za unutranjo-unutranji pristup. Kljuna odluka osim dizajna adresiranja je da li koristiti jedan ili vie NAT ID-a . Koristei jedinstvene NAT ID-e ograniavamo pristup odreenim interfejsima. Koristei jednu NAT ID je jednostavniji nain i predpostavlja se da e PIX razgraniiti koja NAT komanda odgovara kojoj globalnoj komandi na kom interfejsu. Postavii NAT komande na interfejsima viih nivoa bezbednosti, to omoguava korisnicima da startuju konekcije sa interfejsima niih nivoa bezbednosti koristei globalne komande na njima. NAT ID povezuje unutranje adrese u NAT komande u grupu sa adresama jedne ili vie globalnih komandi sa istim NAT ID. Port Address Translation, PAT, se nalazi gde se sve unutranje adrese pojavljuju kao jedna spoljanja adresa, sa promenjenim portovima. PAT ima neka ogranienja. Na primer, ne moe da podri H.323 ili keiranje korinjenja istoimenog servera, tako da moete da koristite za irenje opsega globalnih adresa umesto da ga koristite kao svoju jedinu globalnu adresu. A sve to, ovako izgleda:
Definie rutabilne adrese da bi se koristile za izlazne konekcije. Ovaj raspon

global (outside) 1 definie 1.1.1.51 kroz .100 kao dostupan na prvi dolazak prve polazne take. 1.1.1.51-1.1.1.100 Ukoliko su veze sruene adrese e postatiti ponovo dostupne za upotrebu. Ove netmask 255.255.255.0 adrese su koriene pre PAT adrese koja se u nastavku koristi. Broj 1 je NAT ID za
ovaj opseg.

global (outside) 11.1.1.50 netmask 255.255.255.0 nat (inside) 0 access-list 101

Definie port address translation (PAT) adresu koja se koristi za odlazne konekcijena nakon iscrpnog jedan-na-jedan prevoenja adresa . Ovo se nastavlja na NAT ID (pool) 1. NAT 0 znai da nema NAT-ovanja. Ovaj ulaz se koristi za IPsec konekciju koja je definisana u konfiguraciji. NAT komanda sa ACCESS LIST-om omoguava izuzeti saobraaj koji se podudara sa access-list komandnim iskazima iz NAT servisa. Access list-a 101 precizira IPsec saobraaj. Ova komanda povezuje globalni opseg 1 sa mreama koje su dozvoljene da udju u taj opseg. Podmrei 10.1.1.0 na unutranjem interfejsu e biti dozvoljeno da koristi globalni opseg 1 za spoljanje konekcije. NAT komanda dozvoljava ili ne dozvoljava adresno prevoenje jedne ili vie unutranjih adresa. NAT komanda e onemoguiti NAT za unutranju mreu ukoliko ta mrea nije izriito definisana da koristi opseg. Adresno prevoenje znai da kada host startuje izlaznu konekciju, IP adrese u unutranjoj mrei su prevedene u globalne adrese.

nat (inside) 1 10.1.1.0 255.255.255.0 0 0

12 | S t r a n a

nat (management) 1 10.2.2.0 255.255.255.0 0 0

Podmrei 10.2.2.0 na upravljakom interfejsu e biti dozvoljeno korienje globalnog opsega 1 za spoljanje konekcije.

Moramo primetiti da ukoliko je acl 101 nedefinisina nijedan IPsec saobraaj nee odgovarati i saobraaj nee ii kroz IPsec tunel. Sav saobraaj e biti podrvgnut NAT-u. Ukoliko ste koristili NAT pre, prepoznaete da serveri sa unutranje strane koji trebaju biti povezani sa spoljanjim trebaju statiko mapiranje. Komanda static kreira momentalno mapiranje ( nazvano statiki mapiranje slota ili xlate) izmeu lokalne IP adrese i globalne IP adrese. Koriste se komande static i access-list kada elimo da pristupimo interfejsu vieg bezbednosnog nivoa sa interfejsa nieg bezbednosnog nivoa. Kada NAT postoji izmeu dva interfejsa komanda preuzima oblik "static (high,low) low high" . Bez adresnog prevoenja format statike komande postaje drugaiji "static (high,low) high high" .
static (dmz,outside) 1.1.1.22 10.3.3.22 netmask 255.255.255.255 0 0 static (inside,management) 10.1.1.13 10.1.1.13 netmask 255.255.255.255 0 0
Moramo specifikovati IP adrese korisnika na niem sigurnosnom interfejsu jer e mrea traiti pristup mrei na serveru vieg nivoa bezbednosti. U ovom sluaju, mi omoguavamo DMZ web serveru 10.3.3.22 dostupnost sa spoljanjom adresom 1.1.1.22 Ova statika komanda omoguava saobraaj sa unutranjeg interfejsa (10.1.1.13) do upravljanja podmreom ili obrnuto, ako postoji odgovarajua ACL za saobraaj koji dolazi sa interfejsa nie sigurnosti. Nema NAT promena adrese.

Potrebno nam je posebno statiko rutiranje, kako bi PIX znao koje podmree su van sa kojim interfejsima. Kao CISCO ruteri, PIX zna kako da izrutira saobraaj do povezanih podmrea, tako da mi moramo samo da specifikujemo podmree ili adresne opsege iza drugih rutera. Moemo definisati i default rutu za PIX Firewall.
route outside 0.0.0.0 0.0.0.0 1.1.1.254 1
Odreuje default rutu van za spoljanju komunikaciju sa ruterom 1.1.1.254 koji je udaljen 1 hop.

route management Odreuje rutu do 10.117.220.0 mree preko upravljakog interfejsa sa next 10.117.220.0 255.255.255.0 hop adresom postavljenom na 10.2.2.254 (pretpostavlja se da je 10.2.2.254 10.117.220.0 iza rutera sa upravljakom podmreom).

Ukoliko koristimo statiku moemo takoe biti u mogunosti da idemo sa vieg na nii nivo bez potrebe da koristimo nat ili global. Primer: pretpostavimo da upravljaka stanica 10.2.2.2 (NSM) ima potrebu da pria sa serv1 na 10.1.1.15 na unutranjoj strain. Konfiguriemo sledee:
static (inside,management) 10.1.1.15 10.1.1.15 netmask 255.255.255.255 access-list from-management-coming-in permit tcp host 10.2.2.2 host 10.1.1.15 eq 8888 access-group from-management-coming-in in interface management

Zato to statika postoji 10.1.1.15 moe da inicira vezu sa 10.2.2.2 ali ne moe da pria sa 10.2.2.50 (NMS2) zato to nema postojee metode ili prevoenja.
13 | S t r a n a

Naredni primer:
static (inside,management) 10.1.1.0 10.1.1.0 netmask 255.255.255.0

Ovo omoguava svakoj mrei da se obrati drugoj. Unutranja strana moe priati sa svakim na upravljakoj mrei i paketi odgovora odlaze nazad kroz virtuelne ili postavljene provere ali ACL mora postojati da bi upravljaka mrea mogla da inicira bilo ta unutra. Ima nekoliko varijacija koje mogu ovo da urade ali statika je najistija i uvek moemo predvideti ponaanje jer nema tajm auta (timeouts) za konekcije koje postoje a mi i dalje moemo zadrati potpunu kontrolu preko ACL-a.

14 | S t r a n a

2. Smothwall Linux based firewall

2.1. Uvod Smothwall je Linux orijentisan zatitni zid (firewall). Namenjen je da se koristi kao open-source firewall. Dizajniran tako da bude jednostavan za upotrebu, Smothwall se konfigurie preko webbased GUI i zahteva vrlo malo znanja ili ak uopte ne zahteva znanje za njegovo instaliranje i korienje. Smothwall je privatna softverska kompanija u Velikoj Britaniji koja se bavi razvojem zatitnih zidova i softvera za filtriranje internet sadraja a koja takoe odrava Smothwall open-source projekat. U ovom projektu u prikazati Smothwall Express jer se nalazi na takozvanoj top listi najkorienijih i najboljih Linux orijentisanih firewall-ova sudei po raznoraznim IT forumima i po nekolicini IT sajtova. 2.2 Opta specifikacija Smothwall je veoma stabilan i radie na razliitim hardverima. Koristi IP tabele za kontrolu i rutiranje saobraaja. To je veliko poboljanje u odnosu na neke starije verzije Smothwall-a koje su koristile IPchains. Maina se veoma jednostavno konfigurie koristei prosti Web interfejs ali takoe moe da se odradi konfigurisanje SSH (Secure Shell). Da se podsetimo, SSH je mreni protokol koji korisnicima omoguava uspostavljanje sigurnog komunikacijskog kanala izmeu dva raunara putem nesigurne raunarske mree. Kao to sam i ranije pomenuo, u ovom projektu u koristiti Smothwall Express verziju 2.0 . Na narednih nekoliko stranica u pokazati kako se konfigurie Smothwall. 2.3 Potrebe za Smothwall Kao to sam gore pomenuo, Smoothwall e pokrenuti raznoliki niz hardvera jer nije zahtevan. Preporuljivo je da koristite mainu koja je 166 MHz ili bri. U svakom sluaju, bie potrebno najmanje 2 mrene kartice (NIC) u naoj Smoothwall maini. Uostalom, pravi "zatitni zid" je maina sa 2 ili vie mrenih interfejsa. Vi moete i ne morate da koristite crossover kabl . Svi koji se koristi u ovom delu projekta je Dell PowerConnect 2650 koji vri automatsko prepoznavanje, tako da nema potrebe da koristite crossover kabl.

15 | S t r a n a

2.4. Topologija

2.5. Umreavanje Tokom ove instalacije, koristio sam samo 2 mrene kartice. Jedna za povezivanje sa modemom, i jedna za povezivanje sa sviem. Postoji nekoliko popularnih metoda za konfiguraciju mrenog interfejsa. U Smoothwall, svakom interfejsu je dodeljena "boja" koja odgovara njenoj svrsi. Zajedniki interfejsi su navedeni u nastavku: CRVENA: Internet. Ovaj interfejs je zatien sa iptables firewall pravilima. NARANDASTA: filtrirano / posebne namene. Ovo se obino koristi za DMZ, ili drugi posebne odeljke koje elite da izdvojite.
16 | S t r a n a

ZELENI: pouzdana mrea. Sav saobraaj dozvoljen ka i sa ovog interfejsa. Ako imate dve iste NIC, moraete da obratite panju na MAC adrese tako da znate koji kabl je za povezivanje sa modemom, a koji ide na svoj svi. Najsigurniji nain za postavljanje CRVENOG interfejsa, je da koristite DHCP. Na ovaj nain, svi DNS, Gateway i IP informacije se automatski odrade za vas. Va ZELENI interfejs treba da ima statiku IP adresu (192.168.0.1) za povezivanje LAN-a. Kada ispravno podesite interfejs, restartujete mainu. Modemu se ne prekida napajanje! ISP e vam dodeliti drugaiju IP adresu kada se MAC adresa ureaja koji se povezan sa tobom promeni. 2.6. Web interfejs i upravljanje Kada restartujete mainu, moete da pristupite sa web interfejsa (obino https://192.168.0.1:441). Express verzija 2.0 dodaje mogunost da koristite https. Takoe moete da pristupite koristei port 81. Bez logovanja, moete videti neke od upravljakih menija, verzije i optereenja prosecima. Ako elite da vidite ili promenite bilo ta drugo, morate da se prijavite. Tokom procesa konfiguracije e vas pitati da navedete neke lozinke. Za prijavu na web interfejs, morate koristiti admin kao korisniko ime i lozinku koju ste zadali. Prijavljivanje kao root radi samo preko SSH ili iz konzole. Ne moete da se ulogujete kao root preko web interfejsa. Moete da vidite status ureaja u svako doba sa razliitim opcijama. Konfiguracija i resursi su u obliku teksta. Ispod je izlaz iz moje SmoothWall maine:

Memory: Total Used Free Used % Shared Buffers Cached Mem: 508532K 115856K 392676K 22% 0K 43580K 32332K Swap: 24088K 0K 24088K 0% -------------------------------------------------------------------------------Total: 532620K 115856K 416764K 21% Disk usage: Filesystem Mount point Size Used Available /dev/harddisk4 / 15G 169M 13G 2% /dev/harddisk1 /boot 7.6M 4.4M 2.8M /dev/harddisk3 /var/log 3.7G 62M 3.4G Inode usage: Filesystem Mount point INodes Used Free /dev/harddisk4 / 1954560 13165 1941395 /dev/harddisk1 /boot 2008 28 1980 2% 1% 61% 2%

Used %

Used % 1%

/dev/harddisk3 /var/log 489600 85 489515 Uptime and users: 4:06pm up 3:30, 1 user, USER TTY FROM

load average: 0.00, 0.01, 0.00 LOGIN@ IDLE JCPU PCPU

WHAT

17 | S t r a n a

root

ttyp0

192.168.0.15

3:38pm 28:15

0.07s

0.07s

-bash

Takoe moemo videti i pregled svih servisa koji rade na Smothwall-u :

Posebnu panju moramo obratiti na sledee servise: Web Cache/Proxy (SQUID) DHCP Server DDNS (za dinamike IP) Intrusion Detection System (Snort) SSH (Open SSH)

18 | S t r a n a

Da bi omoguili proxy moramo ekirati ka na sledeoj slici:

Transparentno, jednostavno znai da e svaki klijent na mrei biti primoran da se povee preko proxy servera. Podeavanja pretraivaa nee morati da se menja, a klijenti ne znaju da koriste proxy. Promenio sam veliinu kea od 50 do 5000 MB. Keiranje prevelikih ili isuvie malih objekata moe stvoriti probleme. Snort moe biti ukljuen kao SQUID. Ja u ovom sluaju nisam omoguio snort. Meutim, nakon razmatranja, otkrio sam da to proizvodi mnogo lanih uzbuna. Veze ka i od torrent tragaa su ponekad oznaeni kao dolazno skeniranje portova. Moi emo da izmenimo podeavanja snort ureivanjem konfiguracionog fajla preko SSH. Korienje web interfejsa nam ne daje tu funkcionalnost.
19 | S t r a n a

Jedna od najboljih stvari o Smoothwall je sposobnost da vidite korienja mree. Moete da vidite grafikone mrenog saobraaja koje generie RRDTOOL svakih 5 minuta. Takoe moete da vidite logove korienja weba preko proxy servera. Pa ak moemo istraivati i dalje i raditi pretragu i pregledanje logova po IP adresama. Na ovaj nain, moete da vidite sve sajtove koje poseuju odreene IP adrese (ili korisnici).

20 | S t r a n a

21 | S t r a n a

3. Korienje Cisco PIX firewall-a i Smothwall-a u realnoj topologiji preko GNS 3 mrenog simulatora
3.1. Topologija

3.2. Cisco PIX firewall Kao to moemo primetiti u samoj konfiguraciji PIX-a, stepen poverljivosti saobraaja koji dolazi sa interneta sveden je na minimum dok saobraaj koji odlazi ka interetu iz nae mree ima nivo bezbednosti sa vrednou 100, to u stvari predstavljaju predefinisane vrednosti kod PIX-a.

22 | S t r a n a

: Saved : PIX Version 7.2(4) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 192.168.137.2 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 147.91.3.26 255.255.0.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! ftp mode passive access-list 100 extended permit icmp any any echo-reply access-list 100 extended permit icmp any any unreachable
23 | S t r a n a

access-list 100 extended permit icmp any any time-exceeded pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 147.91.0.0 255.255.0.0 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.137.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! ! prompt hostname context Cryptochecksum:5132433e9376247e4b04b1f4f7fc7011 : end
Slika 6. Prikaz konfiguracije PIX firewall-a

24 | S t r a n a

3.3 SmothWall konfiguracija Topologija na kojoj je implementiran SmothWall:

Slika 7 Prikaz dela mree u GNS 3

Pri instaliranju SmothWall-a na virtuelnoj maini odabrana je opcija da e Smothwall biti Half-Open to znai da e zatvoriti tj. filtrirati saobraaj i spreiti potencijalno opasan i neeljen saobraaj.

Slika 8 Odabir opcije Half-Open

25 | S t r a n a

Zatim biramo mrenu konfiguraciju koju elimo za na SmothWall. Odabraemo konfiguraciju sa dva interfejsa Green + Red (zeleni + crveni ).

Slika 9. Odabir interfejsa

Potom za dodate interfejse biramo mrene drajvere sa nae maine.

Slika 10. Konfiguranje mrenih drajvera

Kada smo ta podeavanja odradili prelazimo na dodelu IP adresa interfejsima. Zeleni interfejs: 147.91.3.26 255.255.255.240 Crveni interfejs: 147.91.3.28 255.255.255.240

Na kraju konfigurisanja dodajemo ifre za root i admin profile. Poto je ruter ve konfigurisan preko konzole pristupamo proveri. Pokreemo SmothWall mainu i testiramo njen rad. Komandom ifconfig preko konzole koristei root profil dobijamo sledee informacije:
26 | S t r a n a

Slika 11 Konfiguracija svih interfejsa na SmothWall-u

27 | S t r a n a