Soekris embedded firewall a m0n0wall

06.11.2006 18:25 | Články | Jaroslav Imrich
Nie je to tak dávno, čo som si u svojho ISP vybavil verejnú IP adresu, ktorá mi však okrem nových možností priniesla aj nové obavy. Priamo adresovateľný počítač je vystavený príliš veľkému riziku a minimálne treba na ňom neustále kontrolovať nastavenia firewallu. O moje linuxové stroje som až taký strach nemal, ale nedala mi spať predstava, že v prípade núdze pripojím firemný "oknoidný" notebook na sieť s verejnou IP adresou. Riešenie bolo jasné - potreboval som sieťový firewall.

Úvod

Hneď v úvode musím upresniť, že pod pojmom sieťový firewall rozumiem osobitný počítač, ktorého hlavnou a často jedinou úlohou je oddeliť vnútornú relatívne bezpečnejšiu sieť od vonkajšej nebezpečnej siete. Nemýľte si teda sieťový firewall s firewallom hostovým, ktorý mnohí nazývajú tiež firewallom personálnym. Viac o firewallových systémoch a ich úlohách pri ochrane sietí sa môžete dočítať v mojej diplomovej práci.

Vo firemnom prostredí by riešenie bolo jednoduché. Niekde do kúta alebo do racku by sa v serverovni umiestnil nový počítač a ním produkovaný hluk by sa strácal v hluku ostatných zariadení. Kto by však chcel, aby ho doma rušil hukot ventilátorov? Riešenie do domácnosti musí byť tiché, musí byť nenáročné na priestor a musí mať čo najmenšiu spotrebu energie. Už dávnejšie som experimentoval s mini-ATX systémami, ktoré síce boli o dosť menšie než bežné PC, no stále na môj vkus zaberali priveľa miesta. Potrebovali tiež klasický počítačový zdroj, ktorý je vždy vybavený ventilátorom. Preto som sa vybral iným smerom a rozhodol som sa skúsiť hardvér z produkcie firmy Soekris Engineering.

Objednávka

Soekris Engineering je menšia firma sídliaca v Kalifornii, ktorá sa špecializuje na návrh a výrobu tzv. "embedded" zariadení. V ponuke tejto firmy nájdeme najmä základné dosky s integrovanými procesormi typu 486 a 586, sieťové karty, ale aj šifrovacie akcelerátory, ktoré pri nasadení vo VPN sieťach odbremeňujú hlavný procesor. Na stránkach belgickej firmy KD85.com, ktorá okrem distribúcie systému OpenBSD do európskych krajín ponúka aj hardvér od Soekris-u, som si objednal všetko potrebné na stavbu firewallu. E-mailom som sa dohodol s majiteľom na platbe bankovým prevodom, ktorú som musel uskutočniť predom. Ihneď po prijatí peňazí druhou stranou mi bol doručený identifikátor zásielky u UPS, s ktorým som mohol na webe sledovať ako môj balík postupuje z Belgicka na Slovensko. Doručenie trvalo tri pracovné dni a keď som od kuriéra v Bratislave preberal balík, podľa webu UPS sa stále nachádzal len v Nemecku. Poučil som sa a druhý krát už tomuto systému sledovania zásielok nebudem venovať pozornosť.

Hardvér

Dorazila ku mne objednaná základná dosku Soekris net4801-60, ktorá je osadená procesorom AMD GEODE pracujúcim na frekvencii 266MHz a má k dispozícii 256 MB SDRAM. Priamo na doske sú tri 10/100 Mbit ethernet rozhrania a čítačka CF kariet. Doska obsahuje jeden štandardný 3.3V PCI port a jeden miniPCI port, ku ktorému je možné pripojiť napríklad wi-fi kartu. Tiež má jeden USB 1.1 port, jedno 44-pinové rozhranie UltraDMA-33 pre pripojenie 2,5" disku a dva sériové porty. Jeden z nich je vyvedený na prednej časti dosky spolu so sieťovými rozhraniami a slúži na pripojenie sériovej konzoly. Preto táto doska nepotrebuje a ani nemá grafickú kartu. K dispozícii je navyše aj hardvérový watchdog, ktorý v prípade zmrznutia systému zabezpečí automatický reštart. Tri sieťové rozhrania na sieťovom firewalle sú vo väčšine prípadov postačujúce, no ja som sa chcel vyhnúť nákupu switch-u, ktorý by ma pripravil o ďalšiu elektrickú zásuvku. Preto som si objednal aj PCI sieťovú kartu Soekris lan1641, ktorá poskytuje štyri nezávislé 10/100 Mbit/s ethernet rozhrania. K doske som si tiež objednal 12V adaptér a plechovú krabicu, ktorú pravdepodobne na mieru vyrába belgický dodávateľ. Ten mi navyše zdarma pribalil aj nálepku s motívom OpenBSD, takže som s jeho službami nadmieru spokojný :).

Soekris

Musím ešte dodať, že celý firewall prišiel kompletne zmontovaný a trochu mi vadilo, že na krabici už boli nalepené gumové nožičky. Krabica je dodávaná v surovom stave bez povrchovej úpravy a pri jej striekaní na čierno som musel nožičky násilne odstrániť. Naspäť ich pravdepodobne budem lepiť sekundovým lepidlom. Viac fotografií jednotlivých komponentov je dostupných v galérii na adrese soekris.jariq.sk.

Softvér

Tento počítač sa ovláda podobne ako napríklad inteligentné switch-e prostredníctvom sériovej konzoly. Ak vám to nič nehovorí, vedzte, že stačí len správnym káblom prepojiť sériový port počítača so sériovým portom vyvedeným na prednej strane firewallu a použiť príslušný komunikačný program. Osobne som počas inštalácie používal program minicom a na systémoch z rodiny Windows je pravdepodobne možné použiť hyperterminal.

Až do samotnej inštalácie som si nebol istý ako sa inštaluje systém na počítač, ktorý nemá pevný disk ale iba CF kartu. Väčšina návodov, ktoré som našiel na webe počítala s tým, že bude pripojený 2,5" disk. V takom prípade je inštalácia veľmi jednoduchá. Disk pripojíte k desktopu a nainštalujete alebo prekopírujete (skúste to spraviť s Windowsom) naň operačný systém, ktorý nakonfigurujete tak, aby používal sériovú konzolu. V prípade, že sa však ako hlavný disk rozhodnete používať CF kartu, pravdepodobne narazíte na problémy s jej životnosťou. Tieto karty majú obmedzený počet zápisov - okolo 100 000 u lacnejších kusov. Priznám sa, že som neskúšal za ako dlho je tento limit dosiahnutý, pretože som si vedomý skutočnosti, že v unixových systémoch neustále na disk zapisuje napríklad syslog daemon a mnohé programy vytvárajú dočasné súbory v adresári /tmp. Riešenie vidím v modifikácii operačného systému, ktorý by mal súborový systém pripojený len na čítanie a pre prípojné body /var a /tmp by používal ramdisk, no na takúto rozsiahlu modifikáciu bohužiaľ nemám v súčasnosti dostatok voľného času. Compact Flash karta pripojená len na čítanie má však oproti pevnému disku aj podstatnú výhodu - systém nemusíte bezpečne vypínať. Zariadeniu stačí odpojiť prívod energie a karta sa nepoškodí.

Soekris

Napriek už spomínanému nedostatku času som však vyskúšal na CF kartu, ktorú počítač detekuje ako pevný disk, nainštalovať OpenBSD. V biose som nastavil PXE boot zo sieťového rozhrania, ktorému DHCP daemon bežiaci na mojom desktope okrem IP adresy zaslal aj cestu k bootovateľnému obrazu dostupnému na lokálnom TFTP serveri. Po zavedení tohto obrazu sa spustila inštalácia systému, ktorá pokračovala podobne ako pri SparcStation4 štandardným spôsobom z lokálneho FTP servera. Systém bežal bez najmenších problémov a predpokladám, že rovnaká situácia by bola so systémom GNU/Linux. Po niekoľkých neúspešných pokusoch transformácie systému na používanie ramdiskov som sa rozhodol, že skúsim cestu menšieho odporu a vyskúšam firewallový systém m0n0wall.

Soekris

M0n0wall je operačný systém určený pre „embedded“ firewallové systémy. Základ má vo FreeBSD a ponúka takmer všetko, čo človek od takéhoto systému očakáva. Poskytuje služby ako DHCP, DNS, VPN s IPsec, SNMP agenta, ale umožňuje tiež používať službu DynDNS, ktorá príde vhod snáď každému, komu ISP prideľuje dynamickú verejnú IP adresu. Samozrejmosťou je aj zmena MAC adries rozhraní, stavový paket filter, NAT a shapping (rozdeľovanie šírky pásma). Navyše sa tento systém konfiguruje v prehľadnom webovom prostredí, takže pre skúseného používateľa je kompletná konfigurácia otázkou pár minút. Inštalácia m0n0wallu na CF kartu je tiež veľmi jednoduchá, potrebujete k nej však počítač s čítačkou týchto kariet. Z webu projektu stačí stiahnuť obraz karty, ktorý má len 6MB a pomocou utility dd ho zapísať na kartu. M0n0wall používam na domácom firewalle asi 4 mesiace a nemôžem robiť iné, než ho chváliť. Nastavenie celého systému sa dá exportovať do jediného XML súboru a obnova konfigurácie je tiež otázkou „pár klikov“. Jediné, čo v ňom trochu postrádam je OpenVPN, ktoré bolo dostupné v starších verziách. Po dôvodoch, ktoré viedli autora systému k vypusteniu tohto balíka z poslednej verzie som však zatiaľ bližšie nepátral.

Záver

S mojím domácim sieťovým firewallom som nadmieru spokojný. Je malý, má nízku spotrebu a vďaka absencii ventilátorov je aj absolútne tichý. Využil som ho už dokonca aj ako "mobilný" náhradný firewall, keď som potreboval preinštalovať operačný systém na firewalle, ktorý spravujem známemu. Celodennú akciu tak sprevádzal výpadok konektivity menší než jedna minúta. V domácej sieti mi toto zariadenie nahrádza aj switch a odkedy ho mám, nemusím sa báť, či som na desktope odstavil všetky testované služby. Celkové náklady na jeho zadováženie dosiahli takmer 18.000 Sk, čo je na slovenské pomery dosť veľa, no treba brať do úvahy, že sa jedná o "high-end" model a slabšie je možné získať aj za polovicu tejto sumy. Pri slabších modeloch je však treba rátať s nižším výkonom. Autor m0n0wallu na stránkach projektu totiž uvádza, že základné dosky z radu net4501 sú schopné dosiahnuť priepustnosť medzi WAN a LAN rozhraním okolo 17Mbit/s. Môj model dosahuje približne 50-60 Mbit/s, čo mi však s pripojením na internet s rýchlosťou 2Mbit/s viac než postačuje. Ostáva mi len dúfať, že produkty firmy Soekris Engineering si raz nájdu distribútora na Slovensku alebo v Čechách a koncoví používatelia tak ušetria na bankových prevodoch a doprave z Belgicka.

    • Bezpečnosť 06.11.2006 | 20:09
      Dumaru   Návštevník
      Dobrý článok, mnohí PC užívatelia nezávislo na OS podceňujú bezpečnosť a súkromie na internete.
      • Re: Bezpečnosť 07.11.2006 | 05:38
        martin   Návštevník
        ja si myslim ze autor to zase s bezpecnostou prehana
    • ethernet multi 07.11.2006 | 11:22
      joe   Návštevník
      Zakupil som karty od spominanej firmy Soekris, dorazilo mi to za 4 dni domov, karty su priamo podporovane v Linuxe (bolo to cca pred rokom a pol) ale uz su v "sufliku" k volnemu predaju, nakolko pri vacsom pocte konekcii a traficu okolo 10Mbit, tak zatazilo maticnu dosku ze je to nepouzitelne. Mal som osadene dve karty, cize 8 eternetiek. Povazujem to skor za SoHo riesenie. Treba sa skor orientovat na mini ITX intel platformu ktora je ovela nadupanejsia a cenovo o cosi vyssia. Samozrejme aj Soekris ma svoje uplatnenie, ale pri dnesnych narastoch kapacit, poctu paketov a divokych konekcii ...neviem neviem..
      • Re: ethernet multi 07.11.2006 | 18:07
        jariq   Návštevník
        10 mbit na jednom rozhrani alebo na viacerych?
    • paranoidne 13.11.2006 | 21:50
      richtone   Návštevník
      Mam komp winXP s verenjou IP (dokonca statickou), nemam ziadny FW a nerobim z toho ziadny humbuk, lebo nemam ziadny problem.
      • Re: paranoidne 13.11.2006 | 23:26
        Avatar uid0 Debian  Používateľ
        LOL. on je paranoik a ty idiot :D
        Debian. apt-get into it…
        • Re: paranoidne 14.11.2006 | 11:04
          cookie   Návštevník
          verejna ip na winxp bez fw?? wow!! si nejaky odvazny.. ja som nervozny ked na par sekund vypinam fw (tiez winxp public ip)
    • hw firewall router 14.11.2006 | 17:37
      X   Návštevník
      preco investovat 18000 do niecoho divneho, ked si mozem kupit hw firewall+router (ano, aj verejne ipcky to vie) za cenu cca 2000?
      • Re: hw firewall router 14.11.2006 | 18:41
        jariq   Návštevník
        Napriklad preto, lebo je to IBM PC kompatibilny stroj, na ktory dostanes lubovolny system schopny pracovat so seriovou konzolou. Uved prosim konkretne typy nech je diskusia prinosna.
    • A co pfsense? 15.11.2006 | 13:04
      qm   Návštevník
      Príjemné prekvapenie, tento článok. M0n0wall je skutožne veľmi príjemné a stabilné riešenie v podmienkach siete kde je potrebný "len" firewall na oddelenie od Internetu. Ale čo ak potrebujeme aj proxy? Alebo IDS?. Musíme inštalovať plnohodnotný stroj? Nie. Ďalšou možnosťou je použiť PfSense (www.pfsense.com). Preberá všetko z M0n0wall-u, ale pridáva tomu ďalšie vlastnosti. Aj OpenVPN :)).
      • Re: A co pfsense? 16.11.2006 | 15:26
        Thomas   Návštevník
        jj , Pfsense ja som sním zašiel až tak ďaleko že som komplet prekopal web rozhranie pridal dns server , pridelovanie ip na základe MAC , počítanie a teda aj obmedzovanie prenosu dát . Dynamický shaping , teda zmena rýchlostí v určitom čase . Stačí si zapnúť konzolu a použiť príkaz pkg_add -v meno_balíčku , ostatné je len programovanie v php
        • Re: A co pfsense? 04.03.2010 | 21:26
          ZdtJCpayRxzlIDb   Návštevník
          corvert on line without prescription [url="http://www.karenhermanforjudge.com/corvert-on-line-without-prescription.html"]corvert on line without prescription[/url] http://www.karenhermanforjudge.com/corvert-on-line-without-prescription.html :)) spiperone impotence [url="http://www.cchreus.org/spiperone-impotence.html"]spiperone impotence[/url] http://www.cchreus.org/spiperone-impotence.html 65609 webresults buy meglitinide [url="http://www.karenhermanforjudge.com/webresults-buy-meglitinide.html"]webresults buy meglitinide[/url] http://www.karenhermanforjudge.com/webresults-buy-meglitinide.html 60744 prozac mania [url="http://www.joshstricklandonline.com/prozac-mania.html"]prozac mania[/url] http://www.joshstricklandonline.com/prozac-mania.html adc alprazolam discountusdrugscom gabapentin prescription soma [url="http://www.arkhamgames.com/alprazolam-discountusdrugscom-gabapentin-prescription-soma.html"]alprazolam discountusdrugscom gabapentin prescription soma[/url] http://www.arkhamgames.com/alprazolam-discountusdrugscom-gabapentin-prescription-soma.html 50706
      • skhkEaJSMKLeOwcNw 08.04.2012 | 03:25
        mruYcMDu   Návštevník
        comment6, http://zithromaxfromcanada.com/ Zithromax side effects, :), http://amoxilfromcanada.com/ amoxicillin dosage, 535833,
      • FZuadDDvoQY 20.04.2012 | 18:26
        ECMaocrFalaiVtx   Návštevník
        comment5, http://farmaciaitonline.com/ farmacia milano, =-[, http://buyamoxicillinwp.com/ Amoxicillin, :],
    • ff 18.11.2006 | 09:45
      Romanus   Návštevník
      Pouzivam dlhsie monowall a som takisto spokojny. Celkom fajn vec.
    • paranoik? nemyslim 23.11.2006 | 11:45
      user3   Návštevník
      Mimo ine sme spravili testik : winxp bez akehokolvek fw,verejne ip,ziadny antivirus,pripojenie k netu ntl 4/MB takze celkom slusne.Desktop bol zapnuty cca 28 hodin.Chcete vysledok? nepouzitelny komp!!! mono nahoda,mozno prilis vela zlych teenagerov zijucich v londyne(test sme spravili tam) firewall dnes nieje luxus, ale nevyhnutnost a te hore uvedeny chlapec co o nepouziva loool tak ten musi byt krasny proxac,nemohol by tuna dat svoju ip :)
    • paranoik? nemyslim 23.11.2006 | 11:46
      user3   Návštevník
      Mimo ine sme spravili testik : winxp bez akehokolvek fw,verejne ip,ziadny antivirus,pripojenie k netu ntl 4/MB takze celkom slusne.Desktop bol zapnuty cca 28 hodin.Chcete vysledok? nepouzitelny komp!!! mono nahoda,mozno prilis vela zlych teenagerov zijucich v londyne(test sme spravili tam) firewall dnes nieje luxus, ale nevyhnutnost a te hore uvedeny chlapec co o nepouziva loool tak ten musi byt krasny proxac,nemohol by tuna dat svoju ip :)
    • Alternativa ?? 26.11.2006 | 20:23
      Dulus   Návštevník
      Ja mam doma staru 266, ktoru som prerobil na bezventilatorovu a na nu som nainstaloval IPCop. A vysledok. To iste co popisuje autor, ale stalo ma to len nejaky ten cas straveny konfiguraciou. Neviem ci je kazdy ochotny investovat do takehoto systemu take tazke peniaze. Urcite ze je to elegantnejsie, ale nie kazdy si moze dovolit za "design" zaplatit. Ale prosim. Funkcia je rovnaka, a tak si kazdy vyberie to co sa mu najviac hodi :D
      • Re: Alternativa ?? 26.11.2006 | 23:13
        luzr   Návštevník
        Ako si riesil ventilator v zdroji?
    • profi riesenie 28.11.2006 | 17:34
      Lubos   Návštevník
      Pekny clanok. Mam v praci odskusany dualny firewall na bazi dvoch net4801-60, CF kariet, dalsich 4-portovych NIC a OpenBSD + CARP, vsetko krasne zabalene do dvoch 19" 1U krabic od kerberos.si. Failover na slave firewall sa stava spravidla z dovodu zlyhania primarneho pripojenia na internet alebo odpojenia napajania master firewallu, kedy slave nastavi svoje rozhrania do stavu UP, prevezme IP a MAC adresy od mastera a TCP spojenia pokracuju akoby sa nic nedialo.
      • Re: profi riesenie 28.11.2006 | 18:05
        jariq   Návštevník
        CARP je skvela vec. Predpokladam, ze opisovane riesenie pouziva pfsync na synchronizaciu stavov spojeni. V tomto smere ma linux veru co dohanat.
    • such a valuable information. 20.06.2009 | 21:27
      Earnest   Návštevník
      buy levitra -levitra buy propecia -propecia buy zithromax -zithromax buy xenical -xenical buy ultram -ultram buy fioricet -fioricet buy valium -valium buy acomplia -acomplia buy prozac -prozac buy ativan -ativan
    • Google announced today 24.06.2009 | 19:39
      Badru   Návštevník
      buy ambien - ambien best price diazepam - diazepam buy wellbutrin - wellbutrin online alprazolam - alprazolam order prozac - prozac buy tamiflu - tamiflu online lorazepam - lorazepam order nexium - nexium order online zoloft - zoloft klonopin info - klonopin
    • Google announced today 15.07.2009 | 08:11
      Cadmus   Návštevník
      • Príspevok bol vymazaný.