12763
Kommentar:
|
1749
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 6: | Zeile 6: |
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen {{{gateway.intern}}} erreichbar sein. | Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org), alternativ pfSense umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen {{{gateway.intern}}} erreichbar sein. |
Zeile 21: | Zeile 21: |
=== Download / Installationsmedium erstellen === Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads |
=== Installation verschiedener Firewall-Lösungen === |
Zeile 24: | Zeile 23: |
Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der [[http://www.ipfire.org/support|ipFire-Dokumentation]] entnehmen. | [[Technik/Installation/Firewall/Pfsense|Installationshinweise zur pfSense Firewall]] |
Zeile 26: | Zeile 25: |
=== Netzwerkkarten identifizieren === Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig. === Basisinstallation === Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen. 1. Image starten <ENTER> 1. Sprache: Deutsch 1. Lizenz akzeptieren <ja> 1. Installieren <ja> 1. Als Dateisystem für die Installation ,,Ext3" auswählen 1. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm 1. Neustart akzeptieren 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok <Enter> 1. Zeitzone: {{{Europe/Berlin}}} --> Ok <Enter> 1. Hostname des Rechners: {{{gateway}}} eingeben 1. Domainname des Rechners: {{{intern}}} 1. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter> 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter> 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten * '''Typ der Netzwerkkonfiguration''' * GREEN + RED * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.) * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü. * '''Treiber- und Kartenzuordnung''' * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein. * Fertig, bestätigen. * '''Adress-Einstellungen''' * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert * IP-Adresse: 10.0.0.1 * Subnetzmaske: 255.0.0.0 * RED nimmt später Verbindung zur Außenwelt auf. * DHCP auswählen * Der Hostname ist {{{gateway}}} * Keine IP-Adresse eintragen * BLUE wird für ein internes WLAN o.Ä. konfiguriert * IP-Adresse: 172.31.0.1 * Subnetzmaske: 255.255.255.0 * '''DNS- und Gateway-Einstellungen''' müssen vorerst nicht bearbeitet werden. 1. DHCP-Konfiguration * Nicht aktivieren, sondern mit Ok bestätigen. === Fine-Tuning der Firewall === Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der [[Technik/Installation/VM/HauptServerTjener|Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'']] wird an dieser Stelle fortgefahren. ''Wichtig:'' Das Fine-Tuning der Firewall wird vom Haupt-Server ''TJENER'' aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden. Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen. ==== System - Startseite ==== * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. ||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-00.png||width=80%}} || ||<style="text-align: center;">Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen || ==== Netzwerk (Klick auf Reiter, oben rechts) ==== ===== Webproxy (Klick auf Menüpunkt rechts) ===== * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' * Proxy-Adresse weiterleiten: [x] * Benutzernamen weiterleiten: [x] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte) * Aktiviere Offline-Modus [ ] * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speichern''' klicken ||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-01.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-02.png||width=80%}} || ||<style="text-align: center;">{{attachment:ipFire-screenshot-03.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-04.png||width=80%}} || ||<style="text-align: center;" colspan="2">Web-Proxy (Internet Cache) konfigurieren / anpassen || ===== URL-Filter (Klick auf Menüpunkt rechts) ===== * '''Automatisches Blacklist-Update''' * Aktivieren [x] * Zeitplan für automatische Updates: ''wöchentlich'' auswählen * Downloadquelle auswählen: Shalla Secure Services * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu) * nach unten Scrollen * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite * '''Sperrkategorien''' auswählen * FixMe: vergl. Screenshot * '''Angepasste Whitelist''' {{{ bads.de # Website mit Drogenpräventionsprogramm 89.105.213.23 # Avira Update-IPs 89.105.213.24 # Avira Update-IPs 62.146.64.146 # Avira Update-IPs 62.146.64.147 # Avira Update-IPs 80.190.130.194 # Avira Update-IPs 80.190.130.195 # Avira Update-IPs }}} * [x] Aktivieren (der Whitelist nicht vergessen) * '''Sperrseiteneinstellungen''' * Zeige Kategorie auf der Sperrseite [x] * Zeige URL auf der Sperrseite [x] * Zeige IP auf der Sperrseite [x] * '''Erweiterte Einstellungen''' * Aktiviere Ausdruckslisten [x] * Sperre Ads mit dem leerem Fenster [x] * Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x] * Aktivere Protokoll [x] * Protokolliere Benutzername [x] * Protokoll in Kategorien aufteilen [x] * Klick auf ''Speichern'' ===== Update-Accelerator (Klick auf Menüpunkt rechts) ===== * '''Allgemeine Einstellungen''' * Aktiviere Protokoll [x] * Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!) * '''Leistungsoptionen''' * Geringe CPU-Priorität für Downloads [x] * Maximale externe Download-Rate: 64 (in kbit/s) * '''Quellenprüfung''' * Ersetze veraltete Dateien während der Prüfung [x] * Klick auf ''Speichern'' ===== DHCP-Server (Klick auf Menüpunkt rechts) ===== * -> kein DHCP-Server darf aktiviert sein ==== Dienste (Klick auf Reiter, oben rechts) ==== ===== OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts) ===== * '''Globale Einstellungen''' * VPN auf ROT [x] * Optional: VPN auf BLAU [x] * OpenVPN-Subnetz: 172.28.0.0/255.255.0.0 * Protokoll: von ''UDP'' auf ''TCP'' ändern * LZO-Kompression [x] * Klick auf Button ''Erweiterte Server Optionen'': * '''DHCP-Push Optionen''' * Domain: vpn.intern * DNS: 10.0.2.2 * WINS: 10.0.2.2 * Klick auf ''Erweiterte Optionen speichern'' ===== Zertifizierungsstellen (CAS) ===== *. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken i. Name der Organisation: <Ausfüllen mit Name der Schule> i. ipFire's Hostname: {{{vpn.intern}}} i. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de i. Abteilung: IT Services i. Stadt: <Name der Stadt od. Kreis> i. Bundesstaat od. Provinz: <Bundesland> i. Land: ''Germany'' auswählen i. Klick auf ''Erzeuge root/host Zertifikat'' --> dies kann etwas dauern ===== Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen) ===== * Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen i. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior) i. Klick auf ''Hinzufügen'' i. Informationen zum VPN-Client ausfüllen: * '''Verbindung''': * Name: <schulkürzel>cl<userid> * Anmerkung: --> kann freigelassen werden * '''Authentifizierung''': * Methode ''Erzeuge ein Zertifikat'' auswählen... * Voller Name oder System Hostname: ''<Vorname> <Zuname>'' * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!) * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen * Name der Organisation: <Name der Schule> * Stadt: <Name von Stadt od. Kreis> * Bundesstaat/Provinz: <Bundesland> * Land: ''Germany'' auswählen * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden * Passwort: setzen und dem/der Benutzer/in mitteilen i. Schließlich auf ''Speichern'' klicken * Wieder unter Globale Einstellungen: Klick auf Button ''Starte OpenVPN'' * Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: '''OpenVPN Server Status: LÄUFT''' ==== Firewall (Klick auf Reiter, oben rechts) ==== ===== Ausgehende Firewall (Klick auf Menüpunkt rechts) ===== * Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen) * p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent) * Regeln definieren, Klick auf Button: ''Neue Regel'' * Regeln erstellen... a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen'' a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen'' a. Für Regel ''drop'' (vordefiniert) den Schalter auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken * Alle Regeln müssen auf aktiv gesetzt werden. FixMe: Screenshots beifügen |
[[Technik/Installation/Firewall/ipFire|Installationshinweise zur ipFire Firewall]] (obsolet!) |
Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks
Inhaltsverzeichnis
Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org), alternativ pfSense umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.
Funktionen der Schul-Firewall
Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:
- Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
- Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
- Verbindung zum Internet für Server-Komponenten des Schul-Intranets
- VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
- weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
- Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
- URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
- Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
- etc.
Installation verschiedener Firewall-Lösungen
Installationshinweise zur pfSense Firewall
Installationshinweise zur ipFire Firewall (obsolet!)