Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org), alternativ pfSense umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

• Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
• Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
• Verbindung zum Internet für Server-Komponenten des Schul-Intranets
• VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
• weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
• Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
• URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
• Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
• etc.

ipFire-Dokumentation

Installationshinweise zur pfSense Firewall ...

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

1. Image starten <ENTER>

2. Sprache: Deutsch

3. Lizenz akzeptieren <ja>

4. Installieren <ja>

5. Als Dateisystem für die Installation ,,Ext3" auswählen

6. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm

7. Neustart akzeptieren

8. Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>

9. Zeitzone: Europe/Berlin --> Ok <Enter>

10. Hostname des Rechners: gateway eingeben

11. Domainname des Rechners: intern

12. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

13. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

14. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten

    • Typ der Netzwerkkonfiguration

      • GREEN + RED
      • Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)

      • Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.

    • Treiber- und Kartenzuordnung

      • Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      • Fertig, bestätigen.

    • Adress-Einstellungen

      • GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        • IP-Adresse: 10.0.0.1
        • Subnetzmaske: 255.0.0.0
      • RED nimmt später Verbindung zur Außenwelt auf.
        • DHCP auswählen

        • Der Hostname ist gateway

        • Keine IP-Adresse eintragen
      • BLUE wird für ein internes WLAN o.Ä. konfiguriert
        • IP-Adresse: 172.31.0.1
        • Subnetzmaske: 255.255.255.0

    • DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.

15. DHCP-Konfiguration
    • Nicht aktivieren, sondern mit Ok bestätigen.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

Wichtig: Das Fine-Tuning der Firewall wird vom Haupt-Server TJENER aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

System - Startseite

• Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.

Netzwerk (Klick auf Reiter, oben rechts)

Webproxy (Klick auf Menüpunkt rechts)

• Allgemeine Einstellungen

  • ändern: [x] Aktiviert auf Grün
  • Proxyport: 3128

• Anzahl der Filterprozesse

  • URL-Filter: aktivieren
  • Update-Accelerator: aktivieren

• Vorgelagerter Proxy (geändert am 2013-03-15)

  • Proxy-Adresse weiterleiten: [ ]
  • Benutzernamen weiterleiten: [ ]

• Protokolleinstellungen

  • Protokoll aktiviert: [x]
  • Protokolliere Query-Terms: [x]
  • Protokolliere Useragents: [x]

• Cache-Verwaltung

  • Cache-Manager aktivieren [x]

  • Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)

  • Aktiviere Offline-Modus [ ]

  • Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)

  • Max. Objektgröße: 409600 (in KByte)

• Ziel-Ports

  • (keine Änderungen)

• Netzwerkbasierte Zugriffskontrolle

  • Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen

  • Dann am Seitenende auf Speichern klicken

URL-Filter (Klick auf Menüpunkt rechts)

• Automatisches Blacklist-Update

  • Aktivieren [x]

  • Zeitplan für automatische Updates: wöchentlich auswählen

  • Downloadquelle auswählen: Shalla Secure Services

  • auf Button Update-Einstellungen speichern klicken (Seite lädt neu)

  • nach unten Scrollen

  • auf Button Jetzt Updaten klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite

• Sperrkategorien auswählen

  • FixMe: vergl. Screenshot

• Angepasste Whitelist

  bads.de         # Website mit Drogenpräventionsprogramm
  89.105.213.23   # Avira Update-IPs
  89.105.213.24   # Avira Update-IPs
  62.146.64.146   # Avira Update-IPs
  62.146.64.147   # Avira Update-IPs
  80.190.130.194  # Avira Update-IPs
  80.190.130.195  # Avira Update-IPs

  • [x] Aktivieren (der Whitelist nicht vergessen)

• Sperrseiteneinstellungen

  • Zeige Kategorie auf der Sperrseite [x]
  • Zeige URL auf der Sperrseite [x]
  • Zeige IP auf der Sperrseite [x]

• Erweiterte Einstellungen

  • Aktiviere Ausdruckslisten [x]
  • Sperre Ads mit dem leerem Fenster [x]
  • Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
  • Aktivere Protokoll [x]
  • Protokolliere Benutzername [x]
  • Protokoll in Kategorien aufteilen [x]

• Klick auf Speichern

Update-Accelerator (Klick auf Menüpunkt rechts)

• Allgemeine Einstellungen

  • Aktiviere Protokoll [x]
  • Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)

• Leistungsoptionen

  • Geringe CPU-Priorität für Downloads [x]
  • Maximale externe Download-Rate: 64 (in kbit/s)

• Quellenprüfung

  • Ersetze veraltete Dateien während der Prüfung [x]

• Klick auf Speichern

DHCP-Server (Klick auf Menüpunkt rechts)

• -> kein DHCP-Server darf aktiviert sein

Dienste (Klick auf Reiter, oben rechts)

OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts)

• Globale Einstellungen

  • VPN auf ROT [x]
  • Optional: VPN auf BLAU [x]
  • OpenVPN-Subnetz: 172.28.0.0/255.255.0.0

  • Protokoll: von UDP auf TCP ändern

  • LZO-Kompression [x]

  • Klick auf Button Erweiterte Server Optionen:

    • DHCP-Push Optionen

    • Domain: vpn.intern
    • DNS: 10.0.2.2
    • WINS: 10.0.2.2

    • Klick auf Erweiterte Optionen speichern

Zertifizierungsstellen (CAS)

• . Stammzertifikat erstellen: Auf Erzeuge root/host-Zertifikate klicken

  1. Name der Organisation: <Ausfüllen mit Name der Schule>

  2. ipFire's Hostname: vpn.intern

  3. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de

  4. Abteilung: IT Services

  5. Stadt: <Name der Stadt od. Kreis>

  6. Bundesstaat od. Provinz: <Bundesland>

  7. Land: Germany auswählen

  8. Klick auf Erzeuge root/host Zertifikat --> dies kann etwas dauern

Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen)

• Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen

  1. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)

  2. Klick auf Hinzufügen

  3. Informationen zum VPN-Client ausfüllen:

     • Verbindung:

     • Name: <schulkürzel>cl<userid>

     • Anmerkung: --> kann freigelassen werden

     • Authentifizierung:

     • Methode Erzeuge ein Zertifikat auswählen...

     • Voller Name oder System Hostname: <Vorname> <Zuname>

     • e-Mailadresse des Benutzers: <user@domain> (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)

     • Abteilung: eine von Kollegium,IT-Dienstleister,o.ä. auswählen

     • Name der Organisation: <Name der Schule>

     • Stadt: <Name von Stadt od. Kreis>

     • Bundesstaat/Provinz: <Bundesland>

     • Land: Germany auswählen

     • Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
     • Passwort: setzen und dem/der Benutzer/in mitteilen

  4. Schließlich auf Speichern klicken

• Wieder unter Globale Einstellungen: Klick auf Button Starte OpenVPN

• Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: OpenVPN Server Status: LÄUFT

Firewall (Klick auf Reiter, oben rechts)

Ausgehende Firewall (Klick auf Menüpunkt rechts)

• Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
• p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)

• Regeln definieren, Klick auf Button: Neue Regel

• Regeln erstellen...

  1. Beschreibung: TJENER, Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button Hinzufügen

  2. Beschreibung: localhost, Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen

  3. Beschreibung: FIREWALL, Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen

  4. Beschreibung: EXTERN, Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button Hinzufügen

  5. Für Regel drop (vordefiniert) den Schalter auf On legen und auf das Speichersymbol (blaue Diskette) klicken

  6. Alle Regeln müssen auf aktiv gesetzt werden.