Unterschiede zwischen den Revisionen 8 und 12 (über 4 Versionen hinweg)
Revision 8 vom 2012-02-17 13:42:55
Größe: 3994
Autor: 58-253-static
Kommentar:
Revision 12 vom 2012-02-17 17:00:17
Größe: 7335
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 26: Zeile 26:

=== Netzwerkkarten identifizieren ===
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig.

Zeile 29: Zeile 34:
 1. Image starten: <ENTER>  1. Image starten <ENTER>
Zeile 31: Zeile 36:
 1. Lizenz akzeptieren <ja>
Zeile 33: Zeile 39:
 1. Als Namen des Hosts: {{{gateway}}} eingeben
 1. Als Namen für die Domain: {{{intern}}}
 1. Beschreibung der Netzwerkschnittstellen:
  * ''red'' -> DSL
   * Einrichtung als DHCP-Client
  * ''green'' -> Debian Edu / Skolelinux Netzwerk (10.0.0.0/8)
   * IP-Adresse: 10.0.0.1
   * Netzmaske: 255.0.0.0
   * keinen DHCP-Server aktivieren
  * ''blue'' -> Optional: ein WLAN-Netz für Lehrer/innen und Schüler/innen mit separaten Zugriffsbeschränkungen / Token-basierter Authentifizierung
   * IP-Adresse: 172.31.0.0
   * Netzmaske: 255.255.0.0
   * DHCP-Server aktivieren

Bei baugleichen Netzwerkschnittstellen, können die Interfaces für die jeweiligen Schnittstellen ''red'', ''green'' (und ''blue'') willkürlich zugeordnet und später nach Inbetriebnahme der Firewall physikalisch ermittelt werden.

Sollen Netzwerkschnittstellen explizit zugeordnet werden, lässt sich die Zuordnung der Netzwerkschnittstellen im System über die ipFire-Konsole nachträglich ändern.
 1. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm
 1. Neustart akzeptieren
 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok <Enter>
 1. Zeitzone: {{{Europe/Berlin}}} --> Ok <Enter>
 1. Hostname des Rechners: {{{gateway}}} eingeben
 1. Domainname des Rechners: {{{intern}}}
 1. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
    1. Typ der Netzwerkkonfiguration
      * GREEN + RED
      * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
      * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.
    1. Treiber- und Kartenzuordnung
      * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      * Fertig, bestätigen.
    1. Adress-Einstellungen
      * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        * IP-Adresse: 10.0.0.1
        * Subnetzmaske: 255.0.0.0
      * RED nimmt später Verbindung zur Außenwelt auf.
        * DHCP auswählen
        * Der Hostname ist {{{gateway}}}
        * Keine IP-Adresse eintragen
      *BLUE wird für ein internes WLAN o.Ä. konfiguriert
        * IP-Adresse: 172.31.0.1
        * Subnetzmaske: 255.255.255.0
    1. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
 1. DHCP-Konfiguration
    Nicht aktivieren, sondern mit Ok bestätigen.
Zeile 52: Zeile 71:
Zeile 54: Zeile 74:
FixMe: untenstehende Punkte überprüfen Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.
Zeile 56: Zeile 76:
 1. Netzwerk - Web-Proxy
  * Aktiviert auf Grün
  * Proxyport: 3128
  * URL-Filter aktiviert
   * Cacheverwaltung:
    * Cachemanager aktivieren
    * Cachegröße einstellen (Bsp. 505 Mb)
    * Filedescriptoren einstellen (Bsp. 16383)
    * Cachegröße auf der Platte einstellen (Bsp. 30000Mb)
    * Max. Objektgröße einstellen (Bsp. 65535)
 1. System - Startseite
    * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.
 1. Status (Klick auf Reiter)
    * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.
 1. Netzwerk (Klick auf Reiter)
    * Webproxy
      * '''Allgemeine Einstellungen'''
      * ändern: [x] Aktiviert auf Grün
      * Proxyport: 3128
      * '''Anzahl der Filterprozesse'''
      * URL-Filter: aktivieren
      * Update-Accelerator: aktivieren
      * '''Vorgelagerter Proxy'''
      * Proxy-Adresse weiterleiten: [x]
      * Benutzernamen weiterleiten: [x]
      * '''Protokolleinstellungen'''
      * Protokoll aktiviert: [x]
      * Protokolliere Query-Terms: [x]
      * Protokolliere Useragents: [x]
      * '''Cache-Verwaltung'''
      * Cache-Manager aktivieren [x]
      * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
      * Aktiviere Offline-Modus [x]
      * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
      * Max. Objektgröße: 409600 (in KByte)
      * '''Ziel-Ports'''
      * (keine Änderungen)
      * '''Netzwerkbasierte Zugriffskontrolle'''
      * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
      * Dann am Seitenende auf '''Speichern''' klicken
    * URL-Filter
      1. '''Automatisches Blacklist-Update'''
        * Aktivieren [x]
        * Zeitplan für automatische Updates: ''wöchentlich'' auswählen
        * Downloadquelle auswählen: Shalla Secure Services
        * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu)
        * nach unten Scrollen
        * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite
      2. '''Sperrkategorien''' auswählen
        * FixMe: vergl. Screenshot
      3. '''Angepasste Whitelist'''{{{
bads.de
89.105.213.23
89.105.213.24
62.146.64.146
62.146.64.147
80.190.130.194
80.190.130.195
87.118.118.162
}}}
         

Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

  • Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
  • Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
  • Verbindung zum Internet für Server-Komponenten des Schul-Intranets
  • VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
  • weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
  • Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
  • URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
  • Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
  • etc.

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

  1. Image starten <ENTER>

  2. Sprache: Deutsch
  3. Lizenz akzeptieren <ja>

  4. Installieren <ja>

  5. Als Dateisystem für die Installation ,,Ext3" auswählen
  6. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm

  7. Neustart akzeptieren
  8. Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>

  9. Zeitzone: Europe/Berlin --> Ok <Enter>

  10. Hostname des Rechners: gateway eingeben

  11. Domainname des Rechners: intern

  12. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  13. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  14. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
    1. Typ der Netzwerkkonfiguration
      • GREEN + RED
      • Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
      • Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.

    2. Treiber- und Kartenzuordnung
      • Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      • Fertig, bestätigen.
    3. Adress-Einstellungen
      • GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        • IP-Adresse: 10.0.0.1
        • Subnetzmaske: 255.0.0.0
      • RED nimmt später Verbindung zur Außenwelt auf.
        • DHCP auswählen
        • Der Hostname ist gateway

        • Keine IP-Adresse eintragen
      • BLUE wird für ein internes WLAN o.Ä. konfiguriert
        • IP-Adresse: 172.31.0.1
        • Subnetzmaske: 255.255.255.0
    4. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
  15. DHCP-Konfiguration
    • Nicht aktivieren, sondern mit Ok bestätigen.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

  1. System - Startseite
    • Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.

  2. Status (Klick auf Reiter)
    • Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.
  3. Netzwerk (Klick auf Reiter)
    • Webproxy
      • Allgemeine Einstellungen

      • ändern: [x] Aktiviert auf Grün
      • Proxyport: 3128
      • Anzahl der Filterprozesse

      • URL-Filter: aktivieren
      • Update-Accelerator: aktivieren
      • Vorgelagerter Proxy

      • Proxy-Adresse weiterleiten: [x]
      • Benutzernamen weiterleiten: [x]
      • Protokolleinstellungen

      • Protokoll aktiviert: [x]
      • Protokolliere Query-Terms: [x]
      • Protokolliere Useragents: [x]
      • Cache-Verwaltung

      • Cache-Manager aktivieren [x]
      • Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)

      • Aktiviere Offline-Modus [x]
      • Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)

      • Max. Objektgröße: 409600 (in KByte)
      • Ziel-Ports

      • (keine Änderungen)
      • Netzwerkbasierte Zugriffskontrolle

      • Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
      • Dann am Seitenende auf Speichern klicken

    • URL-Filter
      1. Automatisches Blacklist-Update

        • Aktivieren [x]
        • Zeitplan für automatische Updates: wöchentlich auswählen

        • Downloadquelle auswählen: Shalla Secure Services
        • auf Button Update-Einstellungen speichern klicken (Seite lädt neu)

        • nach unten Scrollen
        • auf Button Jetzt Updaten klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite

      2. Sperrkategorien auswählen

        • FixMe: vergl. Screenshot

      3. Angepasste Whitelist

        bads.de
        89.105.213.23
        89.105.213.24
        62.146.64.146
        62.146.64.147
        80.190.130.194
        80.190.130.195
        87.118.118.162
  4. Netzwerk - URL-Filter:
    • URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de

    • URL-Filter Wartung: Blacklist hochladen

FixMe: Screenshots beifügen

IT-Zukunft Schule: Technik/Installation/Firewall (zuletzt geändert am 2023-03-20 09:22:01 durch DanielTeichmann)