IPFire - więcej niż firewall

1. Wstęp

IPFire to dedykowana zapora sieciowa, którą można zainstalować w dowolnej sieci – w centrum danych czy w domu. Twórcy ipfire główny nacisk kładą na bezpieczeństwo i stabilność działania.

Szybkość działania, wszechstronność, możliwość elastycznej konfiguracji - to podstawowe atuty firewalla IPFire.

IPFire, oprócz tego, że jest zaporą ogniową z inspekcją stanową, może działać również jako brama VPN, analizować pakiety danych za pomocą systemu zapobiegania włamaniom (IPS). Został wyposażony w wiele dodatków, które jeszcze bardziej rozszerzają jego funkcjonalności.

2. Główne zastosowania IPFire?

1. W centrach danych, zarządzając ruchem sieciowym liczonym w gigabitach/s.
2. W przedsiębiorstwach, gdzie liczba zatrudnionych sięga setek, czy w małych biurach z kilkoma pracownikami.
3. Jako brama dostępowa dla sieci IoT w przemyśle.
4. W domu - jako gateway internetowy lub jeden z elementów tzw. “home lab”.

3. System operacyjny IPFire

IPFire to cały system operacyjny zainstalowany na sprzęcie, który spełnia minimalne wymagania. Jego podstawą jest Linux, lecz w odróżnieniu od typowych dystrybucji takich jak Debian czy Fedora, IPFire jest systemem “utwardzonym” (zastosowane dodatkowe mechanizmy bezpieczeństwa) i dostosowanym do pracy jako firewall.

Każdy pakiet zainstalowany w systemie wcześniej przeszedł dokładną inspekcję przez twórców IPFire i został zbudowany ze źródeł. Twórcy IPFire mają pełną kontrolę nad swoim systemem, co gwarantuje, iż system jest stabilny, bezpieczny i ciągle rozwijany.

Zmiana konfiguracji systemu poza interfejsem WEB GUI, nie jest zalecana, ponieważ system nie ma możliwości weryfikacji poprawności zmienionych plików konfiguracyjnych i tym samym, nie ma gwarancji poprawności działania IPFire jako całości.

4. Główne funkcjonalności IPFire

IPFire posiada bogate możliwości konfiguracyjne, dzięki temu może być adoptowany w różnych środowiskach, które znacząco różnią się wymaganiami.

1. Firewall (zapora ogniowa) - mimo tego, że łatwy w użyciu - bardzo potężny. Dzięki możliwości tworzenia grup sieci, hostów i usług - pojedyncza reguła obejmująca znaczny obszar sieci może być zastosowana w jednym przebiegu. Możliwość zarządzania łączem internetowym oraz funkcje logowania zdarzeń czynią IPFire ciekawą alternatywę w dużych centrach danych lub u dostawców usług internetowych.

2. Quality of service (jakość usług) - zapewnia stabilne połączenie z Internetem. Możliwość zaalokowania potrzebnego pasma dla krytycznych usług internetowych zapobiega przestojom i stratom. Każde urządzenie w sieci może otrzymać dla siebie przydzielone pasmo, więc nie ma już takich sytuacji, że któryś z użytkowników “zapycha sieć”.

3. IPS - Intrusion Prevention System (System zapobiegania włamaniom) - ochrona sieci wewnętrznej przed włamaniami dokonywanymi przez cyber przestępców z Internetu. System zapewnia głęboką inspekcję pakietów, sprawdzając je w bazie sygnatur pod kątem dobrze znanego złośliwego oprogramowania i wykrywając podejrzane zachowania, aby zwiększyć bezpieczeństwo sieci przed bardziej wyrafinowanymi atakami.

4. Web proxy (pośrednik sieciowy) - to jedna z potężniejszych funkcjonalności IPFire. Każdy z użytkowników, którzy mają dostęp do sieci Internet mogą być sprawdzani pod kątem dostępu, zawartości. Ponadto buforowanie wcześniej pobranej zawartości powoduje, iż dostęp do danych jest szybszy. Również w pamięci podręcznej mogą być przechowywane aktualizacje dla systemów operacyjnych takich jak Linux, Windows czy Mac. Komponent URL Filter jest często stosowany w szkołach, bibliotekach, aby zapobiec dostępowi do stron nieodpowiednich. Również może zatrzymywać szkodliwe oprogramowanie, jeśli zostanie wykorzystany z oprogramowaniem antywirusowym.

5. VPN (Virtual Private Network - Wirtualna Sieć Prywatna) - w przypadku konieczności połączenia oddziałów ze sobą lub udostępnienia zasobów sieciowych pracownikom zdalnym - można wykorzystać właśnie VPN. IPFire oferuję sprawdzone rozwiązania w postaci OpenVPN czy IPSec.

6. Internal DNS proxy (Wewnętrzy pośrednik DNS) - gwarancja bezpieczeństwa sieci - ochrona przed “spoofingiem” z zastosowaniem DNSSEC. Rozwiązanie buforuje również odpowiedzi DNS, przyśpieszając rozwiązywanie nazw DNS. Ponadto wykorzystanie DNS-over-TLS również przyczynia się do podniesienia poziomu bezpieczeństwa, ponieważ komunikacja z zewnętrznymi serwerami DNS odbywa się za pomocą szyfrowanego protokołu.

5. Użytkowanie w praktyce

IPFire to stabilne rozwiązanie. Doskonale robi to, do czego zostało zaprojektowane. Może działać w środowisku zwirtualizowanym jak i na sprzęcie fizycznym. Przy małych instalacjach spokojnie (do 50 komputerów) może spokojnie działać w środowisku zwirtualizowanym. Z informacji na forum i WWW twórcy zalecają jednak instalację swojego systemu na maszynach fizycznych (wirtualizacja ma pewien niekorzystny narzut na szybkość przepływu pakietów przez interfejsy sieciowe). Wszystko to kwestia środowiska działania IPFrire. U naszych klientów, nie ma z IPFire żadnych problemów.

Tylko używać ;-)

6. Dodatki

IPFire posiada w swoich zasobach bardzo dużo różnych dodatków, które rozszerzają jego funkcjonalność. Można je bardzo łatwo zainstalować, korzystając z narzędzia pakfire, które służy do instalacji, usuwania i aktualizacji zainstalowanych pakietów w systemie.

6.1 Anonimowość

1. TOR - przeglądanie internetu anonimowo.

6.2 Serwer plików

1. Netatalk - serwer plików dla komputerów Mac

2. NFS - serwer plików dla systemów Linux i Unix

3. SAMBA - serwer plików dla systemów MS Windows. Obsługa protokołu SMB.

4. tftpd - tftp serwer

6.3 WiFi

1. Wireless Access Point - dodanie funkcjonalności AP Wi-Fi do IPFire

6.4 Drukowanie i skanowanie

1. CUPS - sieciowy system drukowania

2. foomatic - integracja sterowników drukarek dla różnych modeli

3. gutenprint - pakiet wysokiej jakości sterowników dla drukarek dla systemu Linux

4. hplip - wsparcie dla ponad 3000 drukarek firmy HP

6.4 Kopie bezpieczeństwa

1. bacula - zbiór narzędzi do zarządzania backupem, odzyskiwaniem i weryfikacją zachowanych danych

2. BorgBackup - system backupu danych z mechanizmem de-duplikacji

3. rsnapshot - narzędzie do wykonywania tzw. “snapshotów” systemów plików, podstawą jest program rsync

6.5 Komunikacja

1. mDNS repeater - serwer systemu mDNS repeater

2. socat - program CLI, które ustala lokalizację danych podczas dwukierunkowego przesyłu

6.6 Serwer E-mail

1. clamav - oprogramowanie antywirusowe, które może skanować zwykłe pliki oraz po integracji pocztę e-mail

2. fetchmail - program do pobierania i przesyłania dalej pobranej poczty

3. Postfix - serwer MTA do wysyłania poczty e-mail.

6.7 Klienty Peer-to-Peer

1. Transmission - klient BitTorrent

6.8 Bezpieczeństwo

1. Freeradius - serwer uwierzytelniania

2. Guardian - ochrona przed atakami “brute-force” na SSH oraz panel WebUI systemu IPFire

3. Lynis - program CLI do lokalnego skanowania systemu i oprogramowania

4. mdadm - zarządzanie programowym RAID

5. Spectre Meltdown Checker - umożliwia sprawdzenie sprzętu pod kątem podatności

6.9 Narzędzia sieciowe

1. avahi - system wykrywający usługi poprzez mechanizmy mDNS/DNS-SD

2. bird - serwer routingu, który wspiera wszystkie nowoczesne protokoły routingu

3. bwm-ng - monitor obciążenia interfejsów sieciowych. Działa w shellu.

4. dehydrated - klient do podpisywania certyfikatów za pomocą serwera “Let’s Encrypt”

5. fireperf - narzędzie do mierzenia przepustowości sieci

6. fping - działa podobnie, jak ping, ale można go użyć do skanowania całej sieci

7. frr (FRRouting) - narzędzie routingu protokołu IP

8. HAProxy - równoważenie obciążenia TCP/HTTP

9. iftop - monitorowanie interfejsów sieciowych w czasie rzeczywistym

10. IPerf/JPerf - narzędzie do testowania szybkości działania sieci LAN

11. iptraf-ng - działający w shellu system do wyświetlania danych statystycznych interfejsów sieciowych

12. keepalived - użuwany dla wirtualnych usług i 1-stopniowej redundancji (VRRP) - redundancja łącza

13. mtr - usługi ping i traceroute w jednym narzędziu

14. ncat - sieciowe narzędzie odczytu/zapisu połączeń sieciowych używając protokołu TCP/UDP

15. nginx - serwer HTTP/PROXY oraz “mail proxy” serwer

16. nmap - potężny skaner portów

17. pmacct - monitoruje wykorzystanie danych (w oparciu o IP lub MAC) aż do poziomu klienta

18. speedtest-cli - narzędzie CLI do testowania przepustowości łącza internetowego

19. stunnel - możliwość ustanowienia tunelu SSL między dwoma hostami

20. tcpdump - narzędzie do monitorowania i kontroli ruchu na interfejsach sieciowych

21. traceroute - narzędzie do testowania trasy pakietów IP

22. tshark - terminalowa odmiana narzędzia wireshark - monitorowanie pakietów w ruchu sieciowym

6.10 Inne narzędzia

1. 7zip - archiwizator plików z wysokim współczynnikiem kompresji

2. ddrescue - narzędzie do odzyskiwania danych

3. firmware-update - update firmware na wspieranych urządzeniach

4. flashrom - narzędzie do wykrywania, odczytu, zapisu i kasowania układów flash

5. fmt - prosty formater tekstu

6. ghostscript - interpreter Postscript, interpreter PDF i silnik renderujący PDFy

7. git - system kontrolujący i zarządzający wersjami plików

8. gptfdisk - narzędzie CLI do partycjonowania dysków twardych z tabelą partycji GPT

9. htop - narzędzie do monitorowania procesów w systemie, podobne do “top”, lecz z większą ilością funkcjonalności

10. igmpproxy - prosty serwer routingu typu “multicast” - oparty na “mrouted”

11. ipvsadm - zarządzanie serwerami wirtualnymi

12. joe - terminalowy edytor tekstów

13. lcdproc - narzędzie typu klient/serwer zawierające sterowniki dla różnych typów wyświetlaczy LCD

14. lshw - informacje o konfiguracji sprzętowej urządzenia

15. make - narzędzie do zarządzania grupą programów

16. mc - stary dobry Midnight Commander. Łatwy menadżer plików

17. minicom - tekstowy program do kontroli modemów i komunikacji szeregowej

18. ncdu - graficzny monitor zajętości dysku

19. Net-SNMP - implementacja SNMP i bardziej zaawansowane niż standardowe snmpd

20. oci-cli - narzędzie CLI dla “Oracle Cloud”

21. powertop - narzędzie do diagnozy problemów ze zużyciem energii oraz do zarządzania energią pobieraną przez urządzenie

22. rsync - narzędzie do kopiowania, backupu i synchronizacji plików

23. sslh - multiplexer ssl/ssh

24. stress - testy urządzenia typu “stress” - kontrolowane i mierzone obciążenie maszyny

25. sysbench - skryptowe- wielowątkowe narzędzie do pomiaru wydajności systemu

26. telnet - komunikacja z innymi hostami za pomocą protokołu TELNET

27. Tmux - multiplekser terminali dla konsoli

28. wavemon - monitorowanie sieci wi-fi

6.11 Monitoring systemu

1. cpufrequtils - monitorowanie szybkości zegara procesora i tworzenie wykresu za pomocą “CPU Graph”

2. icinga - system monitorujący dostępność hostów i usług

3. iotop - is a utility, similar to top command, that monitors disk I/O usage

4. mcelog - loguje,zlicza i sprawdza błędy sprzętowe urządzenia z procesorem x86

5. monit - małe narzędzie, które monitoruje usługi na urządzeniu Linux/Unix

6. NRPE - serwer NRPE na IPFire

7. observium-agent - klient dla platformy sieciowego systemu monitoringu Observium

8. Swatch - proste narzędzie do monitorowania i analizy logów. Może wysyłać alarmy na adres e-mail

9. watchdog - usługa automatycznie restartująca IPFire w przypadku awarii

10. wio (Who Is Online?) - wbudowane narzędzie do sprawdzania w sieci lokalnej, kto jest (jakie urządzenie) on-line

11. Agent Zabbix - agent do monitorowania hosta w systemie Zabbix

6.12 Rozszerzenia dla Proxy

1. Księgowanie Proxy - webowy interfejs wyświetlający ruch sieciowy/na godzinę dla danego użytkownika. Umożliwia generowanie rachunków za używanie sieci.

2. Sarg - graficzne narzędzie (“WEB GUI”) do raportowania użycia “web proxy”.

6.13 Komunikacja z UPS

1. Apcupsd - program do zarządzania i monitorowania UPS-ów APC (i zgodnych)

2. NUT (Network UPS Tools) - monitorowanie i zarządzanie wieloma UPS-ami

6.14 Zmiany dla interfejsu użytkownika

1. SideMenu EX - zaawansowane rozszerzenie dla IPFire. Umożliwia rozbudowanie menu użytkownika w panelu WWW IPFire

6.15 Wirtualizacja

1. libvirt - narzędzie do zarządzania maszynami wirtualnymi w IPFire

2. Qemu - dostarcza mechanizmy wirtualizacji dla IPFire, dzięki temu mogą być uruchamiane systemu operacyjne gości

6.16 Multimedia

1. FFmpeg - narzędzie do obsługi polików wideo, audio w różnych formatach kodowania

2. Gnump3d - serwer do streamowania plików MP# i OGG. Posiada własny interfejs WWW

3. MiniDLNA/ReadyMedia - media serwer w pełni kompatybilny z DLNA/UPnP-AV

4. MPFire - dodaje “szafę grającą” do IPFire

5. Shairport - odtwarzacz AirPlay dla Linux i FreeBSD. Odgrywa audio streamowane przez urządzenia Apple

6. Video Disc Recorder / VDR - serwer, który umożliwia nagrywanie i odtwarzanie (stream) wideo dla kart cyfrowych TV

7. Przykładowe ekrany

8. Podsumowanie

IPFire to system stabilny i pewny. Robi to, do czego został zaprojektowany. Mimo trochę “staroświeckiego” interfejsu umożliwia dość duże możliwości konfiguracji. Ścisła kontrola kodu źródłowego przez twórców jest gwarancją stabilności i bezpieczeństwa rozwiązania.

Rozwiązanie IPFire może być instalowane na zwykłym sprzęcie komputerowym, oczywiście spełniającym minimalne wymagania, lub może też zostać nabyte razem z urządzeniem.

Firma Lightning Wire Labs zajmuje się dystrybucją urządzeń z zainstalowanym systemem IPFire.