Építsünk (merev)lemez nélküli 2.6-os tűzfalat

Linux

A Linux Journal-on jelent meg egy cikk, amely arról szól, hogy mi módon lehet lemez nélküli, 2.6-os Linux kernel alapú tűzfalat készíteni egyszerűen, akár 16MB-nyi RAM-mal, CF kártyára építve. Hasznos lehet annak, aki ilyenen töri a fejét...

A cikk itt.

( _Joel | 2004. 08. 25., sze – 17:17 )

A masodik hozzaszolas tetszik a lapon:

"Tudom, hogy ez a Linux Napló, de elég alacsony lehet az órabéred ha megéri ezzel ennyi időt eltöltened PLUSZ beruháznod egy CF/IDE adapterbe ahelyett, hogy 20 dollárért vennél egy olcsó Linksys/Netgear/DLink router-tűzfal kombinációt. Amióta a wirelesst támogató változatok is megjelentek, a régebbi típusokat szinte ingyen dobálják a vásárlók után (USA-beli komment ugyebár). Amennyiben a tanulás kedvéért csinálnád ezt végig (amint azt valószínűleg a cikk írója is tette, hiszen fogalma sincs róla, hogy mit csinál), akkor semmi baj. De nehogy azt hidd, hogy a cikk által felvázolt tűzfal jobb megoldás, mint a fentiekben említett termékek. Csak abba gondolj bele, hogy egy régi számítógép mennyi áramot zabál ha túzfalként 7/24-es üzemben működteted."

Amúgy ez utóbbi elég jó érv...

Lattal te mar ilyen adsl routernek / tuzfalnak csufolt valamit? Szamtalan esetben epitek linux alapu tuzfalakat, pedig nalunk mar brutto 8 ezer forintert vannak ilyen csoda eszkozok. Az elso komolyabb igenynel elhalnak. Eleg, ha annyit ker az ugyfel, hogy jo volna ha proxyzna is...

Otthonra jok elbohockodni ezek a Linksys/Netgear/DLink ``routerek'' de komoly helyre en biztos, hogy nem ajanlanam oket. Komoly hely: 10 fosnel nagyobb ceg. Es hal' istennek nem is vesznek ilyeneket...

Lattam persze, de komoly helyre pentium 1 alapu 16 MB-os memoriaval ellatott CF kartyas tuzfalat sem ajanlanek:)))

Szerintem a cikk tipikusan otthoni felhasznaloknak szolt, amolyan DIY stilusban (Ezermester magazin IT kulonszamaba lemehetne az otthon barkacsolt 3 tranzisztoros autoriaszto es a bananladabol eszkabalt furdoszobabutor koze)

( Sun | 2004. 08. 25., sze – 17:35 )

Nekem otthon van egy ilyen Micronet csodám. Két gép van rákötve, de néha abba is belezavarodik. Mostanában vettem észre, hogy 2,5 GB letöltés után megáll. Hogy mi okból...? Máskor egyszerűen reggel nem tud kapcsolódni. Kihúzom bedugom, és megy. Szóval ezek fényében nem nagyon raknám irodába. Otthon elbohóckodom vele. (Csak a Micronetről beszéltem. A többi csodáról nem tudok nyilatkozni.)

Hat igen. Komoly tuzfalak ezek a tavolkeleten dzsunkan osszehanyt szarok. Meg szerencse, hogy van koztuk olyan ami elbol backdoort tartalmaz. Igy nem kell nagyon sok idot tolteni a feltoresukkel. Altalaban a ``kepzett'' felhasznalok megveszik, felteszik (persze default user/pass) aztan mar csak sasolnak, hogy betortek a halozatukra. Persze ok biztonsagban erzik magukat... Persze ok nem olvasnak ilyen oldalakat, es nem is igen tudjak, hogy ezeket is frissiteni kell. Vegyek csak oket. Majd ha betornek hozzajuk, majd jonnek hozzam tuzfalert (volt mar ra pelda...) :-D

No, szoval a cikk eleje: "Want to build a custom router/firewall for your home network?"

En nem szivesen tennem ezt:( de sajna kellett, mert wireless szolgaltatom van es olyan dobozos eszkozt nem talaltam ami wireless uplinket tamogatna. Ugyhogy szereztem egy Pentium I-es notebookot, amin van USB a wireless eszkozhoz, tettem ra egy Debiant. Mondjuk en /dev/tty12-re logolok es fut a noflushd is, hogy ne porgesse fel percenkent a diszket a gep... ventillator leallitva, cpu teljesitmeny visszaveve, battery a polcon. Igy alig erzodik meg a villanyszamlan, de azert megerzodik.

Én is a i386-ból készítettre szavazok. Akik meg routernek nevezett "dzsunkan osszehanyt szarok"-at használnak, azok meg meg is érdemlik, hogy betörjenek hozzájuk. 1-2 exploit jól jönne ilyen ócskaságok feltöréséhez. Ha valakinek van (exploitja), az tegye közzé! Please!

Hali!

Igen, láttam már ilyen dobozt. Igaz, az SofaWare volt, s kicsit drágább, úgy 300 USD.

Aki meg cache-proxy-t kér a tűzfalba, azt még meg lehet tanítani, hogy miért rossz a világképe. Aki meg belerakja, annak meg van pár remek idénymunka ajnlatom itt Kalocsa környékén az őszre.

Szerencsére a komolyabb helyek tudják, hogy mire valók, s veszik is rendesen. A nyáron úgy 5000-t adtunk el egyszerre (CZ).

kisza

Hali!

Kiszámoltad, hogy egy i386 (vagy újabb) vas 7x24-ben ill. egy ARM procis 5W-os doboz mennyit zabál?

A CF-be összerakott Linux (ill. egyéb free rendszer) nem biztos, hogy biztonságosabb, mint a szappantartó. Ha meg támadható, akkor meg sokkal jobban támadható (az architektúra és oprendszer miatt).

kisza

Ilyen hozzaallassal sokra viszed meg a szakmaban:) Azzal azert remelem tisztaban vagy, hogy erkolcsileg egy szinten vagy egy besurrano tolvajjal, vagy azzal a baromallattal aki kethete ejjel lelopta a 4 kereket a kocsimrol. Meghogy megerdemlik, hogy betorjenek hozzajuk, a pofam leszakad... Ugye viccnek szantad, csak lemaradt a smiley?

Ha jol saccolom egy Pentium I gepre ezt felinstallani legalabb 1 nap munka. Ledokumentalni, atadni a megrendelonek meg legalabb 1 nap. Elotte az igenyeket felmerni, megbeszelni, dokumentaciot kesziteni arrol, hogy mit is fogunk telepiteni, meg legalabb 1 nap. Az mernoki oradijjal szamolva joval tobb, mint 300 USD...

Hali!

P1 - 300W táp vs. 5-10W -> villanyszámla

Debian -> nem most van valami bugvadászati hét? (konfig 2 nap)

Zorp GPL -> ja, ha egyedül használod. (konfig 3 nap)

SQID -> tűzfalon?! Véletlen nincs benne valami plug-in is? (konfig 1 nap)

iptables :) (konfig 4 nap - SQUID + Zorp)

Telepítési, fordítási és konfig idő?

(10 nap - 300k HUF, külsőnek 3m HUF)

kisza

lol.

Debian base install 20 perc. A szkriptket, konfig fileok megvannak. Egyszer kellett megcsinalni.

A kovetkezo gepek dd-vel mennek (tudod mi az ugye?). Doksit egyszer kell megcsinalni, pdf-ben mellekelheto, fenymasolhato. Gondolod ezt minden esetben meg kell csinalni?

Akkor mirol beszelunk?

Ott a Balabit altalatok leirt i386 architekturan Zorppal nagy bankoknal vannak jelen. Vilagszinten elismert termek. Azert ennyire ne irjunk mar le mindent.

---

Arrol is beszeljenek a kedves kollegak, hogy egy Cisco PIX (ez csak egy pelda) mennyibe kerul + hany userenkent kell hozza venni licencet sulyos penzekert. Hogy lehet hozzajutni a szupporthoz, stb.

Hali!

Bootnál el kell menni a https://my.firewall címre.

Meg kell adni a licenszkulcsot.

Adminjelszót.

A központ IP-jét s az első lépés kulcsát.

Aztán minden automatikus (konfig, firmware, stb.) S van forgalomszabályozásod, VPN-ed (site-site és kliens is) tartalomszűréssel, stb.

Külön telepítésnél természetesen nem az IP kell, hanem a helyi konfig. Azaz a szintek beállítása, valamint persze még szórakozni is lehet vele, ha szeretsz. A doksit generálja.

(Van fenn demo oldal a honlapjukon.)

kisza

trey, nem arrol van szo, hogy neked mennyi ido mindez, hanem, hogy mennyit kersz el az ugyfeltol:) Semmi problemam nincs Debian + Zorp parositasu tuzfalak installalasaval: ha nincs licenszdij, legalabb tobbet lehet kerni a jo minosegu szolgaltatasert...

En csak azt mondom, hogy ha ilyen tuzfalinstallbol havonta beesik 10, akkor azt ugy kell bearazni, hogy a 10 db fedezze a fizeteset annak aki csinalja (+ugye TB-t, meg SZJA-t es egyeb lenyulasokat), + a fonoke fizeteset, + az egyeb jarulekos koltsegeket, es ezen felul meg hasznot is termeljen, hogy legyen tartalek ha kovetkezo honapban csak 6 db install esik be (meg ugyebar a regi tema: kocsi, lakas, asszony, gyerekek)...

Mondjuk a doksit egyszer kell megcsinalni helyett a "doksi template-et egyszer kell megcsinalni" az igaz:)

De nagyon eltavolodtunk az otthoni router/tuzfal tematol...

Hi,

a base install 20 perc, de az még messze nem tűzfal, s nincs rajta iptables+suid+zorp. A klónózás perzse segíthet, de valami autoinstall jobb eset lenne...

Az mindenesetre jó, hogy mindenhol ugyanaz a konfigod van lenn, ugyanazokkal a beállításokkal, jelszavakkal. Így csak 1et kell megnyomni, s aztán a céged referencialistáját megnézni ...

Akkor miről beszélünk? A privát szvéra ingyenes álmai és játékai vs. a céges szemléletről, már migint. (Mint pl. az 5x9-nél annó.) Ez a szakadék nem lesz áthidalva szerintem :)

A Bankoknál nem Zorp Pro van inkább? Azért nem ugyanaz a kettő. A világszintű elismertségre sajna még várni kell. Szegénynek még át kell esni a valódi elismertséghez szükséges utlsó lépcsőn. - Már csak az utolsón.

Igen a PIX router valóban drága játék, de ahol nem tudsz boldogulni a router ACL-ekkel, ott ki tudod rakni az ACL-eket egy külön eszközbe (ami egy CF-es diskless CF alapú valami PC). De nem tűzfalakról volt szó eddig? ;)

kisza

Licenszkulcs. Hat igen. Mennyi kapcsolatra van korlatozva a VPN? 10?

Nezzuk az en oldalamrol:

Dobozos ``firewall'':

------------------------

Megveszek a X.Y. firewall appliance-t 100.000K-ert. Radobom a hasznomat (legyen 20%):

ara: 120.000K + afa

(nekem haszon 20K + beuzemeles)

Ugyfel kapott egy dobozt, ami semmivel nem biztonsagosabb, mint barmi mas (mondjuk egy Linux vagy egy OpenBSD). Jo esetben van 10 VPN kapcsolata, meg ha akar akkor vehet meg hozza szoftver frissitest jo sok penzert. Ja ha szerencsem van ez is Linuxot futtat.

Osszerakott tuzfal:

---------------------

Vas: az ugyfel adja (nekem 0 forint) (ha nem az ugyfel adja, akkor adok en, de azon is van haszon) (villanyszamlara meg soha senki nem kerdezett ra)

Szoftver: szabad szoftver (nekem 0 forint)

Munkadij az ugyfel fele: mondjuk 100K (nekem tiszta haszon 100K) + a hozza eladott szupport

(az effektiv munka vele nem sok, mert mar egyszer meg lett csinalva, csak masolni kell)

Ha egy honapban eladok 10 tuzfalat, akkor a te verziodon keresek 100K-t, a masikon 1 misit + az eladott karbantartasi szolgaltatast (fix munka).

Ugyfel haszna: van aki szuppotalja (bizonyitek nem igeret - akar fel oran belul (ssh), vagy szemelyes megjelenes)

(A Symantec vagy a Cisco kijon? Egy fraszt.)

Ha hiba van, akkor frissitek, nem varom meg mig a kereskedelmi cegek hajlandoak a frissitest kiadni.

Az ugyfelnek annyi VPN kapcsolata van amit a vas elbir, nem korlatozza licenc.

Es meg ezer erv a te verziod ellen.

Ha otthonra epitek, akkor nekem sok a 70.000K + AFA (ugye nekem AFA-t is kell fizetni), inkabb veszek egy Soekrit, vagy barmi mast es teszek ra egy Linuxot vagy OpenBSD-t. Magam munkaja, nem kell fizenem senkinek, ergo 100K-t megsporoltam.

Minden bizonnyal van piaca a te verziodnak is. Nem allitom, hogy meg nem adtunk el Cisco PIX-et, vagy Symantec Firewall-t. De nem ez a jellemzo. En a helyetekben nem irnam le ezeket a megoldasokat. Bizonyitja, hogy meg van munkam, es szerencsere lassan mar annyi, hogy nem birom.

( x15 v | 2004. 08. 25., sze – 22:20 )

Nem is tudom, regebben mindig debian szervereket vittunk mindenhova, most meg routereket (kis cegekhez).

Egyedul a UPC kepes kicseszni a routerekkel, oda mehet szerver.

Sajna a linux-os firewall gepek:

- zugnak

- nagyok

- a merevlemez siman szetmegy (squid)

- frissiteni kell, ami nem kis ido egy p1-esnel.

- lassu

Az uj SMC wireless kutyum itthon kb. 2x..3x gyorsabb, mint egy 850-es cerkan a sarge volt, mar ha a net valaszidejet nezem.

Szoval azok az arm procik nagyon tudnak valamit.

Hi,

megnéztem. A 'man passwd' sehol sem említi, hogy a dd-vel másolt fileban ill. a doksiban lecseréli a jelszavakat.

A doksi jelszava: az a kérdés, ki az üzemeltető. Ha én, akkor nem, de ha nem én, akkor köteles vagyok beleírni az induló jelszót.

kisza

dd alaprendszer. Utana azert csak ki kell vinni az ugyfelhez, ott IP cimet allitani (nyugtass meg, ezt ugye kell azert a HW tuzfalakon is? erdekes lenne, ha nem kellene), majd a rendszer a halozatba kapcsolasa elott jelszo valtoztat, a teljes rendszer atadas utan pedig ugyfel valtoztat jelszot. Szerintem a kereskedelmi HW tuzfalak is default jelszoval jonnek, amit aztan gyakran nem irnak at. Egy gyors google utan meg nemelyikuk felnyomhatok (admin/admin, admin/password) Szep kis default jelszo listakat lehet talani a neten.

Mazsolazzal: http://www.phenoelit.de/dpl/dpl.html

Szamtalanszor ``tortem'' mar fel ugyfel routeret sajat keresre, mert elhagyta a jelszot. Ebbol a listabol. Az esetek jelentos reszeben NEM valtoztatnak jelszot.

Hi,

a nagy:

http://www.checkpoint.com/products/supported_platforms/platforms_appint.html

Szóval megy alap x86-on, de szerencsére elérhető vállalati gépekre is. (Persze célkapcsolókon a legjobb, de ott egy keret 'tudás' nélkül 80k USD-nél indul.)

(s persze ARM-on is (4.5 alapú).)

A szappantartó a fröccsöntött ARM procis kis doboz, s nem az i386.

A legjobb egyébként akkor is a Motorola 80k-n futó rendszer volt! (Az másik gyártó :) )

A cikkben meg a home-ról szól. A Checkpointból csak ARM procis home verzió van. Perse a nagyot is lehet otthon használni (nálam is van vagy 4 cluster), de minek? Még nem láttam olyan állatot, aki 3500 USD-ért vett otthonra tűzfalat (vas nélkül). :)

kisza

Na ugye, hogy nem elég a dd? ;)

A HW tűzfalon alapból be van állítva egy rendszer, amit DHCP-n ki tud adni. Persze, ha váltani akarsz, azt megteheted, de nem kell. ADSL/CATV esetén túloldali IP-t sem kell állítani.

Fix IP-re meg már nem valók ezek a dobozok, s otthon - szerintem - ritka a fix IP. (Persze állítani kell.)

Abba meg, hogy ki mit nyomott fel, inkább ne menjünk bele :) Két példa:

- Cisco ISDN router, ügyfél által lecserélt jelszó (nem default)

- a már említett Motorola 80k, CX/SX (Harris) Cyberguarddal (nem default pwd)

Az elfelejtett módosításra egy jó megoldás, hogy addig nem is tudod telepíteni, konfigolni a rendszert, amíg le nem cserélted a felhasználót és a jelszavat.

kisza

>A cikkben meg a home-ról szól.

Otthoni tuzfalra mar reagaltam. Ami olcso annak hig a leve. Ami draga, annal szerintem jobb egy altalam osszerakott megoldas. En jobban bizok benne. Lehet kapni olcso Via processzort nagyon kicsi fogyasztassal, tan passziv huto is jo ra (halk). Ezer megoldas letezhet.

Azzal hogy Joel azt allitja, hogy egy 8-10 ezer forintos 0.1-es firmware-rel rendelkezo doboz annyit er (amit valoszinu sose frissitenek, mert addigra a gyar se lesz meg), mint mondjuk egy jol osszerakott Linux tuzfal vitatkoznek.

>Abba meg, hogy ki mit nyomott fel, inkább ne menjünk bele :)

Miert ne? Legalis, szamlas munka. O elfelejtette a sajat eszkozenek a jelszavat, es segitseget kert. Hol itt a problema?

>Két példa:

- Cisco ISDN router, ügyfél által lecserélt jelszó (nem default)

- a már említett Motorola 80k, CX/SX (Harris) Cyberguarddal (nem default pwd)

Ket kiragadott pelda. A legtobb ilyen otthoni kutyu default jelszoval erkezik. Fentebb linkeltem egy securityfocus reportot. Nem csak default jelszo volt, hanem mindig mukodo master pass is. Raadasul public IP-n hallgato admin felulettel. Jo nem?

Amit te raksz ossze: valoszinuleg jobb...

Amit a cikk leir: valoszinuleg nem jobb...

Aki 8-10e ft-os kutyuket vesz otthonra az ne tuzfalnak vegye, hanem adsl routernek/NAT boxnak, es tegyen a PC-jere host based firewallt. Erre a funkciora az ilyen eszkozok is tokeletesen megfelelnek...

Nem olyan router kell, ami session alapon korlátoz. Nem mindegyik olyan ám! :)

Nem kell izgulni, a 'nagy' tűzfal-szappantartók sem jobbak. Ott is megvan az imaga, amit rányomnak, s a nagy példányszám miatt a vas is olcsóbb. Az SW ingyenes, a vas 5 USD, ami aztán eladható pár ezresért (USD). Csak ott nagyobb szinten megy az átcseszés.

(Nem szép ám az uplift! Persze ez még semmi a honi VMware árakhoz képest! :) )

A supportot is meg lehet fizetni, minden csak pénz kérdése. Bár 8 ember munkáját kicsit nehéz összehangolni, de ha egyszerre csinálták az image-et s mindent doksiznak, nem lehetetlen, s az általad említett eladási szint mellett már 1-2 embernek meg is van a költsége a másik 6-7 meg vár egy kicsit.

Magadnak otthonra sokat spórolhatsz. Itt nem is a felhasználó a cél. Gondolom, Te sem csinálnál otthonra vasat, ha a 12000 HUF helyett 12250 HUF lenne a havi ADSL költséged amiben benne van a letelepített vas és a távoli felügyelet. (S ekkor legalább mindig tudod, hogy ott a felügyelet, míg most a szolgáltató 'titokban' konfigol s figyel.)

A leírás lényege az volt, hogy elég sokat szívtunk a házi barkáccsal (>1 óra már sok), s az első havi villanyszámla után bizony elgondolkodtunk.

Persze, én is üzemeltettem ilyen rendszereket, s szeretem is őket, de nem tekintettem életcélomnak. Persze ma már jobban szeretném azt csinálni.

A sok munka jó dolog. Ezek szerint mindet Te tartod karban, stb. Kiszámoltad már, hogy mekkora kára keletkezne a cégednek, ha elmennél? (A batanulási idő, kényszerdokumentálás, reakcióidő-növekedés is veszteség.)

kisza

( kisza | 2004. 08. 25., sze – 23:18 )

Hi!

Ez egy nagyon jó cikk/téma! Volt hol levezetni a feszültséget.

Köszi mégegyszer! :)

kisza

(persze nekem se jutna eszembe otthonra kereskedelmi dobozt venni. Még nekem is van két kezem :) )

:-)

Azert remelem nincs harag :-), es is adok el dobozos tuzfalat. Ha az ugyfel ilyet ker / vagy latom rajta, hogy nem biztos, hogy megbirkozik egy alap debuggal, ha valami baja van. 0.0 usernel nyilvan jobb az ``agyonvaghatatlan'' megoldas, en sem vagyok a magam ellensege :-)

( sunfire | 2004. 08. 25., sze – 23:41 )

Ha mar szobakerultek a Cisco PIX-ek.

www.cisco.com: [www.cisco.com]


The Catalyst 6500 and Cisco 7600 Series Firewall Service Module contains software covered under the GNU Public License (listed below). If you would like to obtain the source for the modified GPL code in the Firewall Service Module, please send a request to fwsm_sw_req@Cisco.com.

...

A magyar cisco-sok szerint redhat linux van benne.

A 300W-os táp nem azt jelenti, hogy 300W-ot is fogyaszt :-)

Nálam egy 5x86 133MHz-es AMD 64MByte RAM-al az UPS szerint (ami nem tudom mennyire pontos) kb 15 W-ot vesz fel. Tehát a villanyórát nem ez fogja megpörgetni, viszont jobban bízok egy saját magam által konfigolt és frissített PC-ben, mint egy kis dobozban, amiben ki tudja milyen szoftver van.

András

Najo, de ilyen cikkbol kismillio van a neten... Tavaly egy regi JavaStation 64MB-os flash memoriajaba akartam belenyomni egy linuxot, ami adsl routerkedett meg NAT-olt volna az otthoni gepeknek. 3 napot szivtam vele, es mar majdnem kesz volt amikor az asszony kiadta az ultimatumot, hogy vagy osszepakolom a gepet, vagy o pakol ossze:) Azota is valahol egy szekreny melyen porosodik...

jesszus, komolyan gondolod h inkabb egy pc-t raksz ki valahova? egyebkent meg annyira nem kene fikazni ezeket a cuccokat, nezd meg pl a Linksys WRT54G-jet, teljes erteku linux fut rajta (ha openwrt-t raksz ra akkor iptablestol kezdve ipsec supportig mindent kapsz), mips proci, es kb 25k huf. megbizhatosag, de akar ar/teljesitmeny aranyt tekintve ossze nem lehet hasonlitani egy x86 szarral. a ketto kozul imho inkabb az utobbi a dzsunka meg takolmany kategoria.