SmoothWall Express 3.0 Vorstellung und Konfiguration:

Dieser Bericht ist von unserem Kollegen „Muehle“ des securITy-dome.eu Forums verfasst worden. Für die Arbeit und Bemühungen von „Muehle“ möchte ich mich herzlichst bedanken, ebenfalls für seine freundliche Genehmigung, seinen Bericht zu veröffentlichen.

Themen dieses Berichts (was Sie erwartet):

• Allgemein --> Hintergrundinformationen

• Systemvoraussetzungen --> Software-Version / Benötigte Hardware

• Installation

• Konfiguration --> Zugriff auf die SmoothWall / Einstellungen im Einzelnen / Sicherheitspolicy / Netzwerktyp / Adresszuweisung / Abschluss der Konfiguration / Hinweis!

• Internetzugang --> Hinweis!

• Interne Links

• Externe Links

Allgemein:

Die SmoothWall Express ist eine Hardware-Firewall Lösung, die auf einem GNU/Linux mit dem Kernel 2.6 basiert. Das Programm unterliegt dem Open Source Project und ist Freeware. Das GNU/Linux ist dabei speziell gehärtet um den Sicherheitsanforderungen gerecht zu werden.

Hintergrundinformationen:

Das SmoothWall GPL Projekt wurde im Sommer 2000 gegründet. Neben der Express-Version (für kleinere Netzwerke) existieren auch Versionen für grössere Netzwerke, bis hin zu fertigen UTM-Appliances (z.B. SmoothGuard UTM-1000). Weitere Informationen erhalten Sie im Bereich --> „Externe Links“. Informationen zur UTM-Technik erhalten Sie im Bereich --> „Interne Links“.

Nun folgt der Bericht von „Muehle“:

Systemvorausstzungen:

Ich möchte Euch hier ein paar Erfahrungen und Eindrücke zur Smoothwall-Express 3.0 geben.

Software-Version:

• SmoothWall Express 3.0-polar-i386

Benötigte Hardware:

• CPU ab 200 Mhz

• RAM ab 128 Mb (empfohlen) , mit 64 Mb läuft die Smoothwall trotzdem (nur kann es dann mit zusätzlichen Diensten Probleme geben)

• Festplatte 2 Gb (IDE und SCSI werden unterstützt)

• Netzwerkkarte 1-4 (grün = internes, orange = DMZ, rot = Internet oder externes Netz, purple = WLAN)

• Verbindung über DSL / ISDN / ADSL oder Modem

• CD-ROM, Monitor, Grafikkarte kann steinalt sein ISA/PCI/AGP (wird nur zum installieren gebraucht)

• Tastatur (wenn das BIOS ein Boot ohne erlaubt kann diese nach der Installation entfernt werden)

Man kann also ein total passiv gekühltes System aufbauen ohne thermische Probleme zu erwarten!

Installation:

Download des ISO und weiterer Dokumentation (leider nur in englisch) unter --> „Externe Links“

Booten von dem auf CD gebrannten ISO. Es folgt die eindrückliche Warnung, das alle Daten auf der Festplatte zerstört werden.

Partitionierung der Festplatte erfolgt automatisch nach mehreren Warnungen über den Verlust von noch vorhandenen Daten.

Konfiguration:

Im Folgenden die wichtigsten Konfigurationsschritte.

Zugriff auf die SmoothWall:

Dann folgt der Hinweis wie auf die Smoothwall zugegriffen wird. Über Webfrontend mit allen gängigen Browsern unter eingabe der Adressen:

• http://smoothwall:81

• https://smoothwal:441

Einstellungen im Einzelnen:

Jetzt kommt die Einstellung des Tastaturlayouts und des Rechnernamens:

• erlaubte Zeichen [a-z, A-Z , - , . ]

• nicht erlaubte Zeichen [0-1, und Sonderzeichen].

Sicherheitspolicy:

Jetzt kommt das spannende, die Frage nach der default Sicherheitspolicy.

Zur Wahl stehen:

• Open = offen (erlaubt alle ausgehende Anfragen)

• Half-Open = halboffen (erlaubt die meisten ausgehenden und blockt potentiell schädliche Anfragen)

• Closed = geschlossen (blockt alle ausgehenden Anfragen, erlaubte müssen explizit erlaubt werden)

IMHO ist Half-Open eine gute Wahl, es sei denn, man will sich die Konfiguration der benötigten Dienste wirklich antun.

Netzwerktyp:

Es folgt die Wahl des Netzwerktypes, einfach den passenden Typ auswählen und „Enter“ betätigen.

Hier vier Beispiele:

1. Green (Red is modem/ISDN): grün = internes Netzwerk, rot = ISDN / Modem

2. Green + Orange (Red is modem/ISDN): grün = internes Netzwerk, Orange = DMZ , rot = ISDN / Modem

3. Green + Red: grün = internes Netzwerk, rot = externes Netzwerk

4. Green + Orange + Red: grün = internes Netzwerk, Orange = DMZ, rot = externes Netzwerk

Zuweisen der Netzwerkkarten am Beispiel 3. (Green + Red):

Mit Probe bekommt eine nach dem anderen den richtigen Treiber zugewiesen. Man muss da auch das Interface zuweisen ( hier rot + grün). Rot zum externen, grün zum internen Netz.

Ich habe noch keine Netzwerkkarte gehabt die nicht erkannt wurde!

Sollte die Zuweisung der Interface nicht stimmen, das kommt bei gleichen Karten schon mal vor, steckt man entweder die Kabel um oder meldet sich nach der Installation als root an und ruft „setup“ auf und ändert die Zuweisung.

Adresszuweisung:

Als nächstes die Adresszuweisung (Address settings):

Grün auswählen und IP-Adresse zuweisen. Es werden nur IP-Adressen aus dem privaten Adressraum zugelassen!

• Klasse A-Netz 10.0.0.0 bis 10.255.255.255

• Klasse B-Netz 172.16.0.0 bis 172.31.255.255

• Klasse C-Netz 192.168.0.0 bis 192.168.255.255

Zur Info, es gibt noch ein:

• Klasse D-Netz 224.0.0 bis 239.255.255.255 (Multicast-Broadcasts)

• Klasse E-Netz 240.0.0.0 bis 247.255.255.255 , erweitertes E-Netz bis 255.255.255.255 (experimentelle bzw.zukünftige Anwendungen)

Öffentliche IP-Adressen können zwar eingetragen werden, das Netzwerk funktioniert dann aber nicht!

Rot Netzwerkkarte auswählen:

• Static für feste IP , wenn vom ISP zugewiesen

• DHCP für DHCP vom ISP

• PPPOE für Point-to-Point Protocol over Ethernet (PPPoE)

Dann DNS and Gateway settings:

• DNS = IP-Adresse der Smoothwall

• Gatway = IP-Adresse der Smoothwall

Webproxy muss man nicht konfigurieren, kann man übers Webfrontend machen bei vorgeschaltenen ISP-Proxy etc.

ISDN-Konfig wenn nicht vorhanden deaktivieren, genau so bei ADSL (wie in dem Fall).

Abschluss der Konfiguration:

Finished.

Aufforderung zur Eingabe des ADMIN Passwortes (zur Anmeldung am Webfrontend , Konfiguration). Es sollte ein schweres Passwort sein: Minimum=6 Zeichen, Maximum=25 Zeichen.

„OK“ betätigen.

Aufforderung zur Eingabe des root Passwortes (zur Anmeldung an der Smoothwall per ssh über den nicht Standardport 222 oder local an der Konsole).

Auch hier sollte es ein schweres Passwort sein: Minimum=6 Zeichen, Maximum=25 Zeichen.

„OK“ betätigen

Tata Setup ist fertig - press „OK“ zum Reboot.

Hinweis!

Ein DHCP-Server ist aktivierbar um die Zuweisung der IP-Adressen für die Clients zu realisieren. Es sollte IMHO aber mit festen IP-Adresssen im lokalen Netz gearbeitet werden, denn je mehr Dienste laufen, um so mehr Ansatzpunkte sind da.

Hochfahren des Clients und anmelden am Webfrontend via Browser:

• http://smoothwall:81 („smoothwall“ gegebenenfalls ersetzen mit gewähltem Rechnernamen)

• https://smoothwall:441 („smoothwall“ gegebenenfalls ersetzen mit gewähltem Rechnernamen)

Ich bevorzuge https!

Internetzugang:

Konfiguration ISP-Zugang am Beispiel von T-Online:

1. Networking --> ppp

2. Profilname angeben

3. Interface PPPoE auswählen

4. Number = 0

5. Username = T-Onlinekennung (000000000000000000009#0001@t-online.de)

6. Passwort = Passwort

7. DNS Automatic

8. speichern

Hinweis!

geht das speichern nicht durch die "#" (da untypisches Zeichen in einem Usernamen), hilft folgendes:

• "#" entfernen und speichern, per ssh oder an der Konsole (lokal) anmelden als root. Admin geht nur beim Webfrontend!

• Beispiel: ssh -p 222 root@smoothwall oder ssh -p 222 root@vergebene-IP-Adresse

• PW *********

• cd /var/smoothwall/ppp/

• vi settings

• zum usernamen gehen (0000000000000000000090001@t-online.de)

• auf die "0" nach der "9" gehen und eine # einfügen

• dann noch aus "valid = no" , "valid = yes" machen (ist eine Zeile tiefer)

• speichern und fertig

Ich geh mal von aus, das diejenigen welche sich eine Firewall auf LINUX hinstellen mit dem Editor umgehen können.

Abmelden mit "exit" oder "strg+d" und zum Webfrontend --> Control --> Connect und die Verbindung sollte hergestellt werden.

Interne Links:

Teil 1 – UTM-Komplette Sicherheit aus einer Box: http://www.security-dome.eu/UTM-Appliance_Teil_1.html

Teil 2 – UTM-Funktionen, Kriterien und Übersicht: http://www.security-dome.eu/UTM-Appliance_Teil_2.html

Teil 3 – UTM-Anti-Virus Scanmethoden: http://www.security-dome.eu/UTM-Appliance_Teil_3.html

Teil 4 – UTM-Erweiterte Funktionen und technische Möglichkeit: http://www.security-dome.eu/UTM-Appliance_Teil_4.html

Teil 5 – UTM-Software-Lösung als Alternative: http://www.security-dome.eu/UTM-Appliance_Teil_5.html

Externe Links:

Informationen zum SmoothWall GPL Project: http://www.smoothwall.org/about/index.php

Download der SmoothWall Express: http://www.smoothwall.org/get/index.php

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php

Autor: Frank Richter

Co-Autor: Muehle

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 30.11.07

Letzte Aktualisierung: 30.11.07

<-- Zurück zu den News