Unterschiede zwischen den Revisionen 2 und 3
Revision 2 vom 2017-07-10 10:04:46
Größe: 12877
Autor: BenjaminSchlueter
Kommentar:
Revision 3 vom 2018-01-17 16:41:10
Größe: 12883
Autor: BenjaminSchlueter
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 4: Zeile 4:
'''Hinweis:''' Als Firewall wird im Projekt IT-Zukunft-Schule momentan die Software pfSense verwendet. Installationshinweise dafür sind [[Technik/Installation/Firewall|hier]] zu finden. '''Hinweis:''' Als Firewall wird im Projekt IT-Zukunft-Schule momentan die Software '''pfSense''' verwendet. Installationshinweise dafür sind [[Technik/Installation/Firewall|hier]] zu finden.

Installationshinweise: ipFire Firewall des Debian Edu / Skolelinux Netzwerks

Inhaltsverzeichnis

  1. Installationshinweise: ipFire Firewall des Debian Edu / Skolelinux Netzwerks
    1. Download / Installationsmedium erstellen
    2. Netzwerkkarten identifizieren
    3. Basisinstallation
    4. Fine-Tuning der Firewall

Hinweis: Als Firewall wird im Projekt IT-Zukunft-Schule momentan die Software pfSense verwendet. Installationshinweise dafür sind hier zu finden.

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

  1. Image starten <ENTER>

  2. Sprache: Deutsch

  3. Lizenz akzeptieren <ja>

  4. Installieren <ja>

  5. Als Dateisystem für die Installation ,,Ext3" auswählen

  6. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm

  7. Neustart akzeptieren

  8. Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>

  9. Zeitzone: Europe/Berlin --> Ok <Enter>

  10. Hostname des Rechners: gateway eingeben

  11. Domainname des Rechners: intern

  12. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  13. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  14. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten

    • Typ der Netzwerkkonfiguration

      • GREEN + RED
      • Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)

      • Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.

    • Treiber- und Kartenzuordnung

      • Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      • Fertig, bestätigen.

    • Adress-Einstellungen

      • GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        • IP-Adresse: 10.0.0.1
        • Subnetzmaske: 255.0.0.0
      • RED nimmt später Verbindung zur Außenwelt auf.
        • DHCP auswählen

        • Der Hostname ist gateway

        • Keine IP-Adresse eintragen
      • BLUE wird für ein internes WLAN o.Ä. konfiguriert
        • IP-Adresse: 172.31.0.1
        • Subnetzmaske: 255.255.255.0

    • DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.

  15. DHCP-Konfiguration
    • Nicht aktivieren, sondern mit Ok bestätigen.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

Wichtig: Das Fine-Tuning der Firewall wird vom Haupt-Server TJENER aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

System - Startseite

  • Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.

Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen

Netzwerk (Klick auf Reiter, oben rechts)

Webproxy (Klick auf Menüpunkt rechts)

  • Allgemeine Einstellungen

    • ändern: [x] Aktiviert auf Grün
    • Proxyport: 3128

  • Anzahl der Filterprozesse

    • URL-Filter: aktivieren
    • Update-Accelerator: aktivieren

  • Vorgelagerter Proxy (geändert am 2013-03-15)

    • Proxy-Adresse weiterleiten: [ ]
    • Benutzernamen weiterleiten: [ ]

  • Protokolleinstellungen

    • Protokoll aktiviert: [x]
    • Protokolliere Query-Terms: [x]
    • Protokolliere Useragents: [x]

  • Cache-Verwaltung

    • Cache-Manager aktivieren [x]

    • Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)

    • Aktiviere Offline-Modus [ ]

    • Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)

    • Max. Objektgröße: 409600 (in KByte)

  • Ziel-Ports

    • (keine Änderungen)

  • Netzwerkbasierte Zugriffskontrolle

    • Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen

    • Dann am Seitenende auf Speichern klicken

Web-Proxy (Internet Cache) konfigurieren / anpassen

URL-Filter (Klick auf Menüpunkt rechts)

  • Automatisches Blacklist-Update

    • Aktivieren [x]

    • Zeitplan für automatische Updates: wöchentlich auswählen

    • Downloadquelle auswählen: Shalla Secure Services

    • auf Button Update-Einstellungen speichern klicken (Seite lädt neu)

    • nach unten Scrollen

    • auf Button Jetzt Updaten klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite

  • Sperrkategorien auswählen

    • FixMe: vergl. Screenshot

  • Angepasste Whitelist 

    bads.de         # Website mit Drogenpräventionsprogramm
89.105.213.23   # Avira Update-IPs
89.105.213.24   # Avira Update-IPs
62.146.64.146   # Avira Update-IPs
62.146.64.147   # Avira Update-IPs
80.190.130.194  # Avira Update-IPs
80.190.130.195  # Avira Update-IPs
    • [x] Aktivieren (der Whitelist nicht vergessen)

  • Sperrseiteneinstellungen

    • Zeige Kategorie auf der Sperrseite [x]
    • Zeige URL auf der Sperrseite [x]
    • Zeige IP auf der Sperrseite [x]

  • Erweiterte Einstellungen

    • Aktiviere Ausdruckslisten [x]
    • Sperre Ads mit dem leerem Fenster [x]
    • Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
    • Aktivere Protokoll [x]
    • Protokolliere Benutzername [x]
    • Protokoll in Kategorien aufteilen [x]

  • Klick auf Speichern

URL-Filter konfigurieren

Update-Accelerator (Klick auf Menüpunkt rechts)

  • Allgemeine Einstellungen

    • Aktiviere Protokoll [x]
    • Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)

  • Leistungsoptionen

    • Geringe CPU-Priorität für Downloads [x]
    • Maximale externe Download-Rate: 64 (in kbit/s)

  • Quellenprüfung

    • Ersetze veraltete Dateien während der Prüfung [x]

  • Klick auf Speichern

Update-Accelerator konfigurieren

DHCP-Server (Klick auf Menüpunkt rechts)

  • -> kein DHCP-Server darf aktiviert sein

Dienste (Klick auf Reiter, oben rechts)

OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts)

  • Globale Einstellungen

    • VPN auf ROT [x]
    • Optional: VPN auf BLAU [x]
    • OpenVPN-Subnetz: 172.28.0.0/255.255.0.0

    • Protokoll: von UDP auf TCP ändern

    • LZO-Kompression [x]

    • Klick auf Button Erweiterte Server Optionen:

      • DHCP-Push Optionen

      • Domain: vpn.intern
      • DNS: 10.0.2.2
      • WINS: 10.0.2.2

      • Klick auf Erweiterte Optionen speichern

OpenVPN-Basiskonfiguration

Zertifizierungsstellen (CAS)

  • . Stammzertifikat erstellen: Auf Erzeuge root/host-Zertifikate klicken

    1. Name der Organisation: <Ausfüllen mit Name der Schule>

    2. ipFire's Hostname: vpn.intern

    3. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de

    4. Abteilung: IT Services

    5. Stadt: <Name der Stadt od. Kreis>

    6. Bundesstaat od. Provinz: <Bundesland>

    7. Land: Germany auswählen

    8. Klick auf Erzeuge root/host Zertifikat --> dies kann etwas dauern

Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen)
  • Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen

    1. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)

    2. Klick auf Hinzufügen

    3. Informationen zum VPN-Client ausfüllen:

      • Verbindung:

      • Name: <schulkürzel>cl<userid>

      • Anmerkung: --> kann freigelassen werden

      • Authentifizierung:

      • Methode Erzeuge ein Zertifikat auswählen...

      • Voller Name oder System Hostname: <Vorname> <Zuname>

      • e-Mailadresse des Benutzers: <user@domain> (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)

      • Abteilung: eine von Kollegium,IT-Dienstleister,o.ä. auswählen

      • Name der Organisation: <Name der Schule>

      • Stadt: <Name von Stadt od. Kreis>

      • Bundesstaat/Provinz: <Bundesland>

      • Land: Germany auswählen

      • Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
      • Passwort: setzen und dem/der Benutzer/in mitteilen

    4. Schließlich auf Speichern klicken

OpenVPN-Client-Zertifikat erstellen: hier für Backup-Server

  • Wieder unter Globale Einstellungen: Klick auf Button Starte OpenVPN

  • Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: OpenVPN Server Status: LÄUFT

Firewall (Klick auf Reiter, oben rechts)

Ausgehende Firewall (Klick auf Menüpunkt rechts)
  • Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
  • p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)

  • Regeln definieren, Klick auf Button: Neue Regel

  • Regeln erstellen...

    1. Beschreibung: TJENER, Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button Hinzufügen

    2. Beschreibung: localhost, Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen

    3. Beschreibung: FIREWALL, Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen

    4. Beschreibung: EXTERN, Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button Hinzufügen

    5. Für Regel drop (vordefiniert) den Schalter auf On legen und auf das Speichersymbol (blaue Diskette) klicken

    6. Alle Regeln müssen auf aktiv gesetzt werden.

Ausgehende Firewall härten

IT-Zukunft Schule: Technik/Installation/Firewall/ipFire (zuletzt geändert am 2018-01-17 16:41:10 durch BenjaminSchlueter)