"Een live-cd kunt u niet alleen inzetten als het besturingssysteem er de brui aangeeft, u kunt zo'n cd ook inzetten als firewall. Zo'n live-cd firewall draait op een aparte pc, die tussen uw 'normale' pc of lokale netwerk en de internetverbinding staat en zijn configuratie van diskette of usb-stick haalt. Voordelen live-cd-firewall Een standalone live-cd-firewall heeft aan aantal voordelen boven software als ZoneAlarm. Dergelijke consumentenfirewalls zijn minder flexibel en minder veilig. Maar wie kiest voor een standalone Linux-firewall, loopt vaak weer tegen het bekende probleem aan: hoe installeer en configureer ik het? Het installatiegemak van een live-cd daarentegen is ongekend: u hoeft alleen het systeem vanaf cd op te starten. Daarnaast is de integriteit van het basissysteem altijd gewaarborgd - erg belangrijk bij een firewall. De kern van het systeem draait immers van een onbeschrijfbare cd, dus ook al wordt het firewall-systeem onverhoopt gekraakt, dan is een reboot en een controle van de configuratiebestanden voldoende om het systeem weer in originele staat te herstellen. Ook bij stroomstoringen en andere onverwachte reboots zal de live-cd gegarandeerd intact blijven. ***PCMweblogo Iptables Voor een live-cd-firewallsysteem hebt u in principe geen harde schijf nodig. Een cd-romdrive en een diskettestation is voldoende. Bij het configureren van een Linux firewall is het wel een vereiste dat u voldoende netwerkkennis in huis heeft. Daar komt bij dat - wanneer er geen handige webinterface voor handen is - u een Linux firewall vanaf de commandoprompt moet configureren. Firewall-regels worden onder Linux ingesteld met behulp van iptables. Voor hulp bij het gebruik van iptables kunt u terecht op PCMweb.nl. Daar vindt u een uitgebreide beschrijving van iptables, met voorbeeldconfiguraties. Daarnaast is FirewallBuilder (www.fwbuilder.org) een handige tool voor het opstellen van bijvoorbeeld iptables-regels. Meer informatie over iptables vindt u op www-cpmweb.nl. In dit artikel bespreken we drie livcd-firewalls waarvoor u in meer of mindere mate bekend moet zijn met Linux. Deze firewalls zijn dan ook vooral interessant voor de Linux-fanaat, maar ook voor de systeembeheerder met een beperkt budget en mensen die handmatig configuratiewerk niet schuwen, zijn de besproken firewalls een interessante, veilige en gratis oplossing. ***Beste Product logo Devil Linux Devil Linux 1.0.2b is gebaseerd op Linux kernel 2.4.22. Alle elementen van Devil Linux zijn gericht op één enkel doel, namelijk veiligheid. Devil Linux maakt bijvoorbeeld gebruik van de Grsecurity kernel patch (www.grsecurity.net) die allerhande security-functionaliteit aan de standaard Linux kernel toevoegd. Deze extra kernel-functionaliteit maakt het hackers en ander gespuis een stuk lastiger om het systeem volledig te kraken mochten zij onverhoopt toch toegang tot de firewall krijgen. Voor Devil Linux hebt u twee dingen nodig: een geformatteerde diskette voor het opslaan van de configuratiebestanden en een lege cd. Aardig detail is dat Devil Linux ook te gebruiken is vanaf een usb-pendrive in plaats van een cd. Uw moederbord moet dan wel het booten vanaf usb ondersteunen. Vanaf www.devil-linux.org/download.htm kunt u een download mirror uitkiezen. Brand het image en reboot de computer vanaf cd-rom. Tijdens de eerste boot vraagt Devil Linux om een lege diskette waar het de standaardconfiguratiebestanden plaatst. Eenmaal opgestart belanden we bij een Linux Console login. De globale configuratie van de DL-firewall vindt plaats via het Setup-commando. Vanuit het setup-menu kunt u de basisconfiguratie van het systeem wijzigen, beslissen welke diensten (bijvoorbeeld sshd voor versleutelde netwerklogins) u wilt draaien, de firewall als dhcp-server instellen en uw netwerkkaarten en firewall instellingen configureren. Via het setup-menu kunt u tot drie standaard netwerkkaarten configureren, ook hier is de configuratie vrij spartaans en moet u handmatig bepalen welke modules - lees drivers - uw kaarten nodig hebben. Het Devil Linux systeem doet meteen dienst als een nat (network address translation) gateway en u kunt dus met meerdere lokale systemen via de firewall het internet op. Zie voor een uitgebreide configuratiehandleiding ook de documentatie op www.devil-linux.org. Devil Linux is bedoeld voor de doorgewinterde Linux-gebruiker. Van de voorbereiding tot de uiteindelijke configuratie gaat Devil Linux er van uit dat u ervaring hebt op de Linux commandoprompt. Voor ervaren Linux-gebruikers is Devil Linux absoluut een flexibele live-cd-firewall die security hoog in het vaandel heeft. Gibraltar Gebaseerd op Debian GNU/Linux is de Gibraltar live-cd-firewall beschikbaar in twee uitvoeringen: Een spartaanse gratis uitvoering die vooral vanaf de commandoprompt geconfigureerd wordt en die in veel opzichten aan Devil Linux doet denken, en een commerciële uitvoering waarbij u via een uitgebreide webinterface aan de knoppen draait. Wij werpen een blik op de commerciële uitvoering. De door ons geteste versie 1.0 maakt gebruik van kernel versie 2.4.22, zonder aanvullende security patches. De Gibraltar-download bestaat uit een enkele cd-image met een omvang van 370 MB die u kunt downloaden vanaf een van de Gibraltar mirrors. Het is verstandig om ook meteen de handleiding te downloaden en, als u de hier besproken commerciële uitvoering wilt uitproberen, een testlicentie aan te vragen (www.gibraltar.at/default.php?page=41). U kunt uw toekomstige firewall booten vanaf cd-rom om de Gibraltar-configuratie te starten. Voor de eerste boot is het handig om bij de kernel bootprompt de 'fastboot'-optie te geven. Dit zorgt ervoor dat de firewall een standaardconfiguratie gebruikt en niet op zoek gaat naar de configuratiebestanden op diskette. Aangekomen bij de loginprompt kunt u zonder wachtwoord als 'root' inloggen. Eenmaal ingelogd is het zaak om het root-wachtwoord met behulp van het Passwd-commando te wijzigen. Standaard stelt Gibraltar de eerste netwerkkaart in met ip-adres 10.10.0.1, als uw lokale netwerk een ander addressenbereik gebruikt dan kunt u met behulp van het Ifconfig-commando het ip-adres wijzigen. Bijvoorbeeld 'ifconfig eth0 192.168.0.1'. Zodra het systeem bereikbaar is via het lokale netwerk, verloopt de verdere configuratie van de Gibraltar-firewall via een browser op https://10.10.0.1 of het ip-adres dat u ingesteld hebt. Let op de https, wat aanduidt dat de verbinding naar de firewall ssl-versleuteld is. Als de webinterface eenmaal in de browser geladen is, moeten we onze licentiesleutel naar de firewall uploaden. Is de sleutel geplaatst, dan kunnen we met ons root-wachtwoord inloggen op de firewall. De webinterface is een uitermate complete interface naar ons firewall-systeem die doet denken aan de configuratie van kant en klare hardware routers. Er is zelfs een ssh java-applet waarmee we via het ssh-protocol een versleutelde commandoprompt voor onze neus krijgen. Daarnaast kunt u eenvoudig allerhande diensten inschakelen en configureren waaronder een dhcp-server maar ook een mailserver. De kernfunctionaliteit van de firewall, namelijk de eigenlijke firewall-regels en de nat-functionaliteit zijn overzichtelijk en eenvoudig in te stellen; iemand met een redelijke netwerkkennis zal ook zonder Linux-ervaring de firewall kunnen configureren. Vanuit Configuration Management stelt u uw uiteindelijke configuratie veilig op diskette, usb-pendrive of harde schijf en is uw Gibraltar live-cd-firewall klaar voor gebruik. De webinterface van de Gibraltar live-cd-firewall functioneert uitermate goed en beschermt de gemiddelde gebruiker van de commandoprompt. Het is een uitstekende interface naar de firewalling- en routing-functionaliteit waar een Linux-installatie van huis uit al over beschikt. Daarnaast maakt ook de eenvoudige configuratie van aanvullende diensten zoals een mailserver, Gibraltar erg aantrekkelijk voor kleine zakelijke netwerken. Maar deze prachtige interface wordt helaas alleen geleverd met de commerciële uitvoering van Gibraltar, en met een licentieprijs van € 990 loont het de moeite om u te verdiepen in de Linux-commandoprompt en de gratis uitvoering van Gibraltar te gebruiken. Sentry Sentry is gebaseerd op Slackware linux. De Sentry firewall is beschikbaar in twee uitvoeringen: een zogenaamde stabiele uitvoering en een development-uitvoering. De development-uitvoering beschikt over de nieuwste software waaronder - als enige van de geteste firewalls - de 2.4.23 Linux kernel die onder andere een lokaal kernel security-probleem oplost . Inmiddels is versie 2.4.24 verschenen in verband met alweer een lokaal security-probleem in de Linux kernel en de verwachting is dat ook Sentry binnenkort weer zal upgraden. Maar wees gerust: deze fouten zijn alleen uit te buiten door iemand die shell-toegang tot de firewall heeft, Sentry maakt daarnaast gebruik van de OpenWall (www.openwall.com) kernel-patches voor extra security. Eigenlijk is Sentry gewoon Slackware in een security-georiënteerd live-cd-jasje. Er is dan ook niet veel moeite gedaan om verder Sentry-specifieke configuratietools bij te voegen. Als u het imagebestand van sourceforge.net/project/showfiles.php?group_id=29625 gedownload hebt, de image op cd brandt en vervolgens het firewall-systeem boot, moet u niet rekenen op grafisch vuurwerk. U krijgt doodleuk een commandoprompt voorgeschoteld waarop u als root kunt inloggen. Het standaard wachtwoord luidt 'sentry'. Vervolgens kunt u het systeem zoals elk ander Slackware Linux-systeem op de commandoprompt configureren. Via het 'mkconfig'-commando kunt u de gewijzigde relevante configuratiebestanden op diskette opslaan. Maar omdat deze tool volgens de Sentry-documentatie nog niet echt betrouwbaar is, ziet men het liefst dat u handmatig een sentry.conf-bestand aanmaakt aan de hand van de aanwijzingen in de howto. Bij de volgende boot zal Sentry op zoek gaan naar dit sentry.conf-bestand op de diskette en uw specifieke configuratiebestanden vanaf diskette laden. Sentry is Slackware. Makkelijk zat, en ookal adverteert Sentry zich als een firewall-specifieke Linux live-cd, er is eigenlijk weinig spraak van specifieke tools die het de onervaren Linux-gebruiker wat makkelijker maken. Voor Slackware-fans en hardcore commandoprompt-fanaten is de Sentry live-cd-firewall een aardige en compacte Linux live-cd die je goed als firewall kunt configureren. Conclusie De voordelen van een Linux live-cd als firewall zijn duidelijk: er zijn geen langdurige installatieprocessen, de integriteit van het systeem is gewaarborgd en er is geen harde schijf nodig, wat dus minder lawaai en hitte oplevert. De door ons besproken live-cd's bieden uiteindelijk allemaal dezelfde functionaliteit - Linux blijft immers Linux. Een oplossing als de commerciële uitvoering van Gibraltar is vooral dankzij zijn webinterface uitermate aantrekkelijk, maar het hoge prijskaartje doet hier afbreuk aan. Daar komt bij dat gratis router-op-een-flop-firewalls als FreeSCO (www.freesco.org) ook over een soortgelijke webinterface beschikken. De Sentry firewall is eigenlijk alleen geschikt voor ervaren Linux-gebruikers en hoewel dit in mindere mate ook geldt voor Devil Linux, is voor ons de laatste toch favoriet. Mede dankzij de mogelijkheid om niet alleen van cd-rom maar ook van een usb-opslag-apparaat te booten en het feit dat Devil Linux de gebruikers - zij het wat summier - tegemoet komt in de vorm van de setup-tool. Devil Linux krijgt van ons dan ook het predikaat PCM Keuze Beste Product. *** Kader Wat is een live-cd? Linux live-cd's zijn bootable cd's waarvan u een compleet functioneel Linux besturingssysteem kunt laden zonder dat hierbij de harde schijf gebruikt wordt. Een Linux live-cd-firewall bouwt voort op het live-cd-concept en maakt het mogelijk om een Linux-router en firewallsysteem vanaf cd te draaien. De configuratiebestanden worden op diskette opgeslagen zodat de instellingen van de firewall bij een reboot niet verloren gaan. *** Kader Wat is een firewall? Een firewall is een pakketfilter. Als poortwachter tussen uw lokale netwerk en het internet bepaalt een firewall aan de hand van door u ingestelde regels welke netwerkpakketjes worden toegelaten en welke geweigerd. Dit kernprincipe is altijd van toepassing, hoe complex een bepaalde firewallconfiguratie ook lijkt. "