Nexinto Business Cloud IPFire - Firewall Anleitung zum Aufsetzen eines IPFire - Firewall Images Version: 1.0
Inhaltsverzeichnis Inhaltsverzeichnis... ii 1 Einleitung... 3 2 Vorbereitungen... 4 2.1 Anlegen eines Datacenters... 4 2.2 Reservieren fester IP Adressen... 4 3 Erstellen der Firewall... 5 3.1 Anlegen einer virtuellen Maschine... 5 3.2 Anlegen der virtuellen Netzwerke RED und GREEN... 5 3.3 Anlegen des Storage... 7 4 Ersteinrichtung... 8 4.1 Zugriff auf die Firewall... 15 4.2 Änderung des Password... 16 4.3 Beschränkung des administrativen Zugangs... 16 ii 2
1 Einleitung Dieses Dokument beschreibt den Aufbau einer Firewall Lösung im NBC-Designer. Alle Funktionen sind mit dem Open-Source Produkt ipfire realisiert und erfordern keine Lizenzgebühren. Mit Hilfe von vorbereiteten Festplatten-Abbildern ist es möglich schnell und mit minimalem Konfigurationsaufwand eine effektive und leicht bedienbare Firewall Lösung aufzubauen. Da ein populäres Standardprodukt verwendet wird, kann die Konfiguration beliebig an die eigenen Bedürfnisse angepasst werden. Im Internet findet man zahlreiche Beispiele für unterschiedliche Anwendungsfälle. Die hier beschriebene Firewall Lösung enthält: Stateful Packet Inspection Firewall Intrusion Detection Symtem (Snort) IPSEC-VPN, OpenVPN DHCP Server Caching Namerserver (DNS) Dynamic Nameserver (DynDNS) NTP Server Zahlreiche Add-On s (PakFire) Voraussetzungen: Grundkenntnisse in Netzwerktechnik und Serveradministration Ein Zugang zum NBC Designer (https://nbc-designer.nexinto.com ) Eine virtuelle Maschine (kostenpflichtig wenn eingeschaltet) Ein virtuelles Storage von ca. 10GB (kostenpflichtig) Mindestens eine feste IP Adresse (kostenpflichtig) Die neueste Version von Java sollte installiert sein Ein bestehendes Datacenter Seite 3 von 17
2 Vorbereitungen 2.1 Anlegen eines Datacenters Falls noch nicht geschehen erstellen Sie ein neues Datacenter. Die erforderlichen Festplattenimages werden in den Rechenzentren in Frankfurt und Karlsruhe bereitgestellt. 2.2 Reservieren fester IP Adressen Üblicherweise werden Firewall s mit einer festen öffentlichen IP Adresse versehen. Vor der Einrichtung der Firewall sollten Sie eine IP Adresse für die Firewall reservieren. Sollten Sie keine feste IP Adresse benötigen, können Sie diesen Schritt auch überspringen. Über den Menüpunkt IP Manager am oberen Bildschirmrand des Datacenter Designers erreicht man das Menü zur Konfiguration fester IP Adressen. Über den Button (+) IP s reservieren können feste IP Adressen reserviert werden. Der Name ist in diesem Fall beliebig und dient nur der besseren Übersicht. Eine DNS Namensauflösung wird in diesem Fall nicht eingerichtet. Es ist zu beachten, dass die IP Adressen immer einer Region zugeordnet sind und nicht umgezogen werden können. Somit sollten das Datacenter und die IP Adresse in derselben Region registriert sein. (Beide in Frankfurt oder beide in Karlsruhe) Die Preise für feste IP Adressen sind der jeweils aktuellen Preisliste zu entnehmen. Seite 4 von 17
Nach erfolgter Reservierung, sieht man auf der rechten Seite des Menüs, welche IP Adressen zugeordnet wurden. 3 Erstellen der Firewall 3.1 Anlegen einer virtuellen Maschine Legen Sie im Datacenter Designer einen neuen Server an. Der Name ist beliebig, gibt aber sinnvollerweise einen Hinweis, dass es sich um eine Firewall handelt. 2 Cores und 2 GB RAM sind für den Anfang ausreichend. 3.2 Anlegen der virtuellen Netzwerke RED und GREEN Verbinden Sie das erste Firewall Interface mit einem Internet Access. Da die Firewall für den Interzugang die Interfacebezeichnung RED verwendet, verwendet man am Bestens dafür auch die Farbe Rot. Seite 5 von 17
Hat man den Server im Datacenter Designer ausgewählt gelangt man über den Reiter Netzwerk zur Konfiguration des Netzwerk Interfaces. Hier ist standardmäßig die DHCP Funktion aktiviert und man würde eine automatisch zugewiesene IP Adresse erhalten. Wir deaktivieren hier jedoch das Häkchen bei DHCP und wählen unter Zusätzliche IP s eine der zuvor reservierten IP Adressen aus dem Menü aus. Die Funktion Firewall bleibt deaktiviert. Im Anschluss führen Sie dieselbe Konfiguration für das zweite Netzwerkinterface des FW-Servers durch. Hier wählen Sie jedoch als Farbe Grün, und können die Funktion DHCP aktiviert lassen. Seite 6 von 17
3.3 Anlegen des Storage Die Firewall erhält ein HDD Storage. Eine Größe von 10 GB ist dafür ausreichend. Bei der Installation des Images wird die Größe automatisch angepasst, falls es sich um ein größeres Image handeln sollte. Der Name ist beliebig, darf jedoch innerhalb eines Datacenters immer nur einmal verwendet werden. Im Menüpunkt Eigene Images finde Sie ein vorbereitetes Images für eine IPFire Firewall. Nach der Auswahl des Images wird nach dem Operating System gefragt. Hier wählt man Linux aus. Im Anschluss rufen Sie den Server im Inspektor auf der rechten Seite des DCD auf. Hier wählen Sie die dritte Reiterkarte mit der Bezeichnung Storage und stellen den Bustyp auf IDE. Seite 7 von 17
Um die eben durchgeführten Einstellungen zu übernehmen müssen Sie die Änderungen provisionieren. Dies geschieht über den grünen Button Änderungen provisionieren im DCD Inspector. 4 Ersteinrichtung Die initiale Konfiguration der Firewall erfolgt über die Remote Console, welche in der rechten oberen Ecke des Inspektor Menüs im Datacenter Designer zu finden ist. Beim Start der Remote Console öffnet sich ein neues Fenster mit einer Java Applikation. HINWEIS: GOOGLE CHROME BIETET KEINE JAVA UNTERSTÜTZUNG. WÄHLEN SIE DAHER EINEN ANDEREN BROWSER. Das Setup Programm bietet keine Mausunterstützung. Verwenden Sie die Cursor Tasten und die Tabulatortaste um zwischen den verschiedenen Menüoptionen zu wählen. Als Erstes wählen Sie bitte ihr Tastaturlayout und bestätigen die Auswahl mit OK. Wählen Sie die gewünschte Zeitzone und bestätigen die Auswahl mit OK Seite 8 von 17
Wählen Sie einen Hostnamen für die Firewall. Vergeben Sie einen Domainnamen Wählen Sie ein Root-Passwort und bestätigen Sie es durch erneute Eingabe. Dieses Passwort wird verwendet, um sich auf der Kommandozeile auf der Firewall einzuloggen. Da die Konfiguration der Firewall überwiegend über eine graphische Benutzeroberfläche erfolgt, wird diese Funktion selten genutzt werden müssen. Hier sollte man ein Password mit hohem Sicherheitsstandard wählen. Im direkten Anschluss nach der Vergabe des Root-Passwortes erfolgt die Festlegung Admin-Passwortes. Auch dieses muss durch die erneute Eingabe bestätigt werden. Dieses Passwort wird zum Login in die graphische Bedienoberfläche verwendet. HINWEIS: BEI DER EINGABE GIBT ES KEINE VISUELLE RÜCKMELDUNG. ES WIRD WEDER DAS EINGEGEBENE PASSWORD, NOCH PLATZHALTER WIE BEISPIELSWEISE STERNCHEN ANGEZEIGT. Nach der Passwortvergabe befinden Sie sich in dem Network configuration menu. Seite 9 von 17
Hier wählen Sie bitte als erstes den Menüpunkt Network configuration type. Für die einfach Konfiguration ist der Typ GREEN + RED ausreichend und wird auch in diesem Beispiel weiter verwendet. GREEN Dieses Netz wird durch die Firewall geschützt. RED Dieses Netz liegt außerhalb der im Internet BLUE Dies ist ein zusätzliches geschütztes Netz, was für die Anwendung von WLAN Accesspoints optimiert ist. ORANGE Die ist ein zusätzliches geschütztes Netzwerk Wählen Sie als Nächstes die Option Drivers and card assignments. Hier findet die Zuordnung der Netzwerkkarten zu den zu den jeweiligen Funktionen statt. Seite 10 von 17
Hier müssen Sie nun die Netzwerkkarte, welche die Verbindung ins Internet hat, dem logischen Interface RED und das interne Interface dem logischen Interface GREEN zuordnen. Diese Interfaces sind vorher auch farblich im DCD entsprechend gewählt worden. Die Auswahlliste im Menü der Firewall zeigt die MAC Adressen der verfügbaren Interfaces. Diese muss man jetzt mit den im Datacenter Designer MAC Adressen abgleichen und entsprechend zuordnen. Seite 11 von 17
Jetzt können den Interface IP Adressen zugeordnet werden. Dazu wählt man im Network configuration menu den Punkt Address settings Jetzt muss zuerst ausgewählt werden, welches Interface konfiguriert werden soll. Wichtig ist zunächst das Interface RED, damit ein Zugriff auf die graphische Benutzeroberfläche möglich ist. Zunächst wählt man den Typ Static. Die Leertaste bewirkt hier, dass die Auswahl übernommen wird. Die Punkte DHCP Hostname und Force DHCP MTU sind in diesem Fall irrelevant und können frei gelassen werden. Bzw. müssen nicht geändert werden. Die einzugebende IP Adresse ist diejenige, welche zuvor im IP-Manager reserviert wurde und dem Server im Datacenter Designer zugeordnet wurde. Die Network Mask lautet: 255.255.255.0 Seite 12 von 17
Als nächsten Schritt wählt man erneut die Address settings und konfiguriert das Network GREEN Interne IP Adressen müssen nicht reserviert werden. Hier ist es möglich ein eigenes IP-Adressschema oder RFC-1918 konforme IP-Adressen zu verwenden. OPTION 1: ÜBERNAHME DER IP ADRESSEN AUS DEM INSPEKTOR DCD OPTION 2: KUNDE HAT EIGENES ADRESSSCHEMA UND ÜBERNIMMT EINE DER VORHANDENEN ADRESSEN OPTION 3: MAN FOLGT DER BEISPIELKONFIGURATION UND WÄHLT (192.168.76.1) Jetzt wird vom Setupprogramm angeboten einen DHCP Service zu konfigurieren. Diese Einstellungen können aber auch in der graphischen Benutzeroberfläche vorgenommen werden. Damit kann die Menüpunkt problemlos übersprungen werden. Seite 13 von 17
Die letzte Einstellung in der Netzwerkkonfiguration sind dann die DNS und Gatewayeinstellungen. In jedem Rechenzentrum stehen DNS Server zur Verfügung, die frei benutzt werden dürfen. Frankfurt 185.48.118.6 185.48.116.10 Karlsruhe 46.16.74.70 46.16.72.37 Las Vegas 208.94.37.18 162.254.24.10 Die Adresse des Default Gateway ermittelt man, indem man das letzte Oktett der eigenen IP Adresse durch eine 1 ersetzt und dieses dann bestätigt. Seite 14 von 17
Hiernach befindet man sich erneut im Network configuration menu und dieses Verlässt man durch die Bestätigung mit Done. Die Warnmeldung kann ignoriert werden, solange man auf der Konsole eingeloggt ist. Nach dem Abschluss der Grundkonfiguration startet die Firewall automatisch neu und das Konsolenfenster der Remote Console kann bedenkenlos geschlossen werden. 4.1 Zugriff auf die Firewall Der Zugriff auf das Management Interface der Firewall erfolgt über eine verschlüsselte SSL Verbindung in einem Webbrowser. https://<ihre IP Adresse> :444/ Username: admin Password: <wie bei der Erstinstallation definiert> Seite 15 von 17
4.2 Änderung des Password (Wenn Sie ein eigenes Password gewählt haben, können Sie diesen Schritt auslassen) Im Management Interface der Firewall gibt es keine Möglichkeit Passwörter zu ändern. Dies ist nur auf Systemebene möglich. Dazu wählt die Firewall im Datacenter Designer aus. In der rechten oberen Ecke findet man dann einen Button für den Zugriff auf die Remote Console. Im Konsolenfenster verwendet man den User root und das bei der Installation vergebene Passwort. Mit dem Kommando setup kommt man in ein Konfigurationsmenü, in dem die Passwörter für die User root (Zugriff auf die Systemebene) und den User admin (Zugriff auf die graphische Oberfläche) geändert werden können. 4.3 Beschränkung des administrativen Zugangs Nach der Installation ist es möglich aus dem Internet auf die graphische Benutzeroberfläche zuzugreifen. Dies erleichtert zwar die Erstkonfiguration sollte jedoch im Anschluss aus Sicherheitsgründen deaktiviert werden. Benutzen Sie dazu wieder die Remote Console der Firewall und melden sich als Root-User an. Zum Bearbeiten der Config Datei der Firewall, nutzen Sie den folgenden Befehl: vi /etc/init.d/firewall Seite 16 von 17
Suchen Sie in dieser Datei die Zeile mit der Konfigurationsregel, die einen GUIINPUT vom RED_DEV erlaubt. iptables A GUIINPUT i ${RED_DEV} p tcp --dport 444 j ACCEPT Aktivieren Sie den Insert Modus im Editor durch Eingabe von i und setzten Sie eine Raute an den Anfang der Zeile. Mit der ESC Taste beenden Sie den Insert Modus und durch die Eingabe von :wq wird der Befehl in die Datei geschrieben und der Editor beendet. Zur Aktivierung dieses geänderten Regelsatzes muss der Firewall Dienst oder einfach die gesamte Firewall neu gestartet werden. Dies können Sie mit dem folgenden Befehl erreichen: /etc/init.d/firewall restart HINWEIS: SOLLTEN SIE IMMER NOCH IN EINEM BROWSER AUF DER GRAFISCHEN OBERFLÄCHE ANGEMELDET SEIN, WIRD DIE LAUFENDE SITZUNG AUCH BEI EINEM NEUSTART DES FIREWALL DIENSTES NICHT UNTERBROCHEN. SCHLIEßT MAN JEDOCH DAS BROWSERFENSTER WIRD KEIN ERNEUTER LOGIN MEHR MÖGLICH SEIN. Seite 17 von 17