Astaro v. 5 er en af de nye intelligente firewalls der på det seneste er kommet på markedet. Astaro har altid været kendt for effektive firewalls, men er med version 5 udkommet med en version af integreret firewall der effektivt beskytter mod hackere, viruser, orme og spam mm.
Dette er altså ikke en egentlig firewall men en firewall-antivirus-spamfilter-vpn gateway-content filtering og intrusion protection løsning i et.
De fleste af disse ting befinder sig normalt på indersiden af netværket, men med Astero 5 er de nu placeret i yderkanten (firewallen) som jo kun kan være et kæmpe plus. Jo før vira, orme og intruders stoppes, jo større sikkerhed.
Jeg havde lånt en Lexcom NEO VIA C3 box af Liga til formålet. Den havde preinstalleret Atero 5 som var lige til at koble til netværket. Ved at rette browseren mod https:/ /192.168.2.100 fik jeg hurtigt en login prompt frem.
På første side bliver man tvunget til at konfigurere passwords for terminal root, webadmin og terminal user. Bagefter bliver man mødt med velkomst siden der forklarer lidt om hvad de forskellige menu entries står for.
Det skal bemærkes at der ikke er en intuitiv (dumsmart) guide som i Windows verdenen, dog er min erfaring at ved man hvad man har med at gøre, og læser man i manualen, er det faktisk ligetil.
Først er det en god ide at ændre admin email adressen. Dette gøres i System Settings. Her er det også muligt at opsætte tidszone samt NTP server.
NOT FOUND: astaro3.jpg
Bagefter skal man uploade en lisens fil, for at aktivere alle firewallens funktioner. Dette gøres i samme menu, System Licensing.
Det er altid vigtigt at holde systemet up2date, så derfor har Astero en automatisk opdaterings funktion som bare skal aktiveres. Up2date kan automatisk hente opdateringerne, og vente på at man selv starter installationen, eller den kan opdatere det hele automatisk.
Hvilken metode der er best, afhænger af flere ting.
Hvis man ikke sætter til automatisk opdatering er det nødvendigt regelmæssigt at gøre dette manuelt. Til gengæld har man fuld kontrol over hvornår systemet mister ydeevne pga. vedligehold.
Men med fuld automatisk up2date er man altid sikker på at ens firewall er så sikker som mulig.
Netværk interfaces.
I Interfaces vælger man New, og så sætter man sine interfaces op.
Man skal som minimum have 2 interfaces (eth0 og eth1). Her vælger man navnet, typen, netmask og Default gateway.
Netvork DHCP setup for et interface med DHCP
Range Start - er ip-adressen som der kan startes med
Range End er slut ip-adressen
DNS server 1 og 2 - er virksomhedens DNS servere (eller ISPs)
Gateway er ens default internet gateway/router.
Static mappings er statiske maskiner på netværket, som Domain controllere og print servere.
Når interfacet er oprettet skal man bare starte det op ved at klikke på den røde knap, så den bliver grøn.
Det er også muligt at aktivere QoS under netværk. QoS står for Quality of Service, som er en funktion (på lag3) hvor man kan sætte prioritering af pakker. QoS bruges ofte i forbindelse med IP telefoni.
I Packet Filter Rules er her man konfigurerer filtrene. Som standard kommer der ingen trafik i gennem, da firewallen er lukket. Ved at åbne og sætte filtrene kan man lave hul i gennem firewallen.
Her skal man passe lidt på. Uden at have læst i manualen kom jeg første gang til at forwarde alle interne forbindelser til alle externe forbindelser og omvendt, med det resultat at jeg mistede forbindelse til dens konfiguration via min browser. Dette resulterede i at maskinen måtte geninstalleres, da det ikke var muligt at ændre opsætningen fra terminalen.
Proxies
Astaro har også nogle proxy servere man kan sætte op. Dette er dog ikke nødvendigt, men kan dog bruges for at spare båndbrede samt gøre brugeren mere anonym på nettet. Opsætningen kan godt være lidt uoverskuelig (f.eks. http proxyen) og den er opdelt i 2 sektioner. Først skal proxyen startes, og så fremkommer alle menuerne.
Dine valg er;
Standard: hvor brugeren skal sætte klientens internet browser op til proxyen.
Transparent: Kræver ingen konfiguration i browserens opsætning og
User Authenticatione; hvor der bliver kontrolleret brugernavn og password i den lokale database, LDAP, RADIUS eller SAM dir.
Dernæst er der indholds filter (Surf protection) som kan opsættes. Her kan proxy serveren filtrere efter ord som sex, nudity, guns, drugs mm. Dette er faktisk et nyttigt filter i virksomhedsammenhæng, men også i hjemmet.
Det er muligt at opsætte en URL blacklist (hvem vil ikke skåne ens børn fra at surfe ind på rotten.com?).
SMTP og POP3 proxyen er også værd at udforske. Med SMTP relay kan man sætte skjold op foran ens interne mailserver og derved skåne den for angreb.
Den kan også sættes op som relay for ind og udgående post. Mails kan skannes for uegnet indhold, og antispam filteret er sat op som standard både for SMTP og POP3. Den kræver dog at DNS proxyen også er sat op.
NAT/Masquerading
Åben network NAT/Masquerading. Her kan man sætte alle de NAT regler som firewallen skal forwarde.
Der er 3 sektioner i opsætningen:
Navn, her gives forwardingen et navn
Regel type, DNAT/SNAT, Load balancing og
Masquerading
Jeg gav reglen et navn, valgte Masquerading og hvilket netværk det galdt for, samt hvilket netværkskort det skulle gælde for.
Efter at have opsat reglen valgte jeg add (tilføj).
En af de ting jeg ikke kunne teste, var Astaros VPN forbindelse.
Her skriver man også Navn, Type, Politik, Endpoint og Remote endpoint. Ved tryk på add gemmes opsætningen og man kan så aktivere den.
IPS Intrusion Protection System
Astaro v5 indeholder et IPS system baseret (tror jeg, da det ikke er skrevet direkte i dokumentationen) på Snort. Billedet beskriver pakkernes vej gennem IPS.
Pakkerne kommer fra Internettet gennem pakke filteret før de bliver dekrypteret af VPN modulet. IPS modulet passeres og pakkerne bliver set efter i henhold til de definerede regler. Hvis ingen regler matches, ud fra de regler man har sat, bliver pakkerne routet videre ind i LAN. Hvis der findes en machende regel, bliver der taget vare på pakkerne.
I menuen, Intrusion Protection Settings finder man opsætningen af IPS. Her enables systemet ved at aktivere den røde knap så den bliver grøn.
Portscan er brugt til at detectere portscans på netværket. Hvis en portscan opdages vil en email blive sendt til administratoren.
Der er to muligheder med Intrusion Detection opdagede pakker:
1.Opdagelse af angreb, hvor en email vil blive sendt til admin.
2.Forebyggelse hvor der bliver blokeret for pakker (evt sat i karentæne) og admin får sendt en email.
Ved opdagelse af pakker vil en advarsel blive sendt til admin. Der er 3 niveauer (Høj, medium og lav).
Blokerede pakker - Intrusion Prevention
Astaro har omkring 2000 predefinerede regler lige til at bruge. Alle regler indeholder mønstre for kendte angrebsmønstre.
Ved kig i Intrusion Prevention Rules kan man se en liste af regler (listen er selvfølgelig meget længere).
Det er muligt at søge i de forskellige regler.
Der er også mulighed for at tilføje en ny regel. Dette er kun beregnet for avancerede brugere.
Astaro følger Snorts syntax regler som kan ses her: http://www.snort.org/ under Rules.
Det er dog som regel ikke nødvendigt at tilføje ekstra regler, da up2date nok skal holde systemet automatisk opdateret (forudsat at det er aktiveret).
Logning
En af de rigtig nyttige ting er den avancerede lognings funktion som Astaro har. En af de 8-9 partitioner som firewallen har er til logning. Her er mulighed for at vælge logning niveauet, og man har fuld styr over logningen samt den plads der opteges.
Dokumentation
Der er online dokumentation i firewallen, men også på nettet på http://docs.astaro.org/
Alle howtos mm. er udgivet i pdf formatet, og er yderst beskrivende. Der er faktisk guider til stort set alle opsætningsmuligheder. Dette forudsætter dog at man kender termerne, og har fuld styr over hvordan netværket skal sættes op. Faktisk måtte jeg gennem-læse endda noget teori for at kunne sætte firewallen ordentligt op. Dette opfordre direkte til at man dokumenterer sit netværk ordentligt og gennem tænker opsætningen.
Udover dette har Astaro et bruger forum på http://www.astaro.org
Astaro kan hentes i en 30 dages evaluerings version på deres hjemmeside. Når 30 dage licensen udløber, kan man ikke længere logge ind i webadmin delen, men firewallen virker stadig.
Ellers skal det nævnes at private kan, ved at registrere, sig få en personlig
version af Astaro ganske frit på:
http://www.astaro.com/php/statics.php?action=regis...
En stor tak til Liga for lån af Lexcom NEO VIA C3 boxen, Astaro V. 5 mm.
Læs mere på;
http://www.astaro.com
Dokumentationen er på;
http://docs.astaro.org/ASL_manuals/ASL-V5-Manual-E...
Forum på;
http://www.astaro.org
Astaro forhandles i Danmark af Liga;
http://www.liga.dk
Lexcom NEO VIA C3 boxen ses her:
http://www.liga.dk/index.php?view=lex
Denne artikel som pdf:
http://www.linuxin.dk/pictures/astaro-linuxin.pdf
