המוצרים היקרים ביותר בתחום אבטחת המידע הינם ה-FIREWALL והנתבים.
בדרך כלל, הוצאות הרכישה/תחזוקה של הרכיבים הנ"ל מאוד גבוהות.
ניתן להסביר את תופעת המחיר הגבוה במספר סיבות :
A) פעם לא הייתה הרבה תחרות בשוק ה-FW והנתבים (Checkpoint ו-Cisco)
B) מדובר במוצרים קריטיים להגנת הארגון ולכן בדך כלל לא מתפשרים על איכות (ולא משנה מהי השקפת העולם של מנהל אבטחת המידע)
C) פעם המוצרים היו מבוססים רק קופסא (APPLIANCE) ולא תוכנה
אבל היום העולם השתנה : ניתן להתקין ולהפעיל יכולות בסיסיות של FW ונתב ע"י התקנה של לינוקס על שרת רגיל ולהנות מניתובים והגנות בסיסיות בלי לשלם הון תועפות לאחת החברות הגדולות.
חשוב להבין ששוק חומת אש/נתבים גם השתנה ומכיל היום שירותים נוספים (IPS, IDS, הגנה על אפליקציה …) אך כתבה זו מתייחסת רק לשירותים הבסיסיים (ניתובים, FW, NAT …).
ניתן למצוא באינטרנט החופשי והחינמי מספר מוצרים טובים ופשוטים להתקנה ולתפעול, בחרתי ב-VYATTA כדוגמא אבל ישנם עוד הרבה מוצרים דומים (ראו רשימה קצרה בסוף הכתבה השניה).
הפתרונות החופשיים הינם דרך נהדרת להתמודד עם סביבות לא קריטיות וסביבות פיתוח בעלות נמוכה (השרת הפיזי בלבד ולא נדרשת חומרה "חזקה") אבל אישית, לא הייתי מתקין רכיב מסוג זה במקום מרכזי באף ארגון.
סדרת כתבות על VYATTA :
מדריך להתקנת שרת חומת אש/נתב : VYATTA – חלק א' (התקנה)
מדריך להתקנת שרת חומת אש/נתב : VYATTA – חלק ב' (הגדרות בסיסיות) – כתבה טרם הושלמה
למה VYATTA ?
בחרתי ב-Vyatta מכוון שהמוצר מספק פתרון מושלם בין העולם של ה-CLI/Linux (מסך פקודות) לבין העולם של GUI (ממשק ניהול גראפי).
ניתן לנהל את המוצר ב-CLI ו/או ב-GUI לאחר התקנה בסיסית מהירה מאוד (כ-20 דק' של התקנה).
גרסאות שונות :
VYATTA, כמו הרבה מוצרים חופשיים אחרים, מתפרסם על בסיס גרסה בסיסית חינמית וחופשית (גרסת "CORE") אבל קיימות עוד שתי גרסאות בתשלום עם יכולות מתקדמות (ושירותי תמיכה). הגרסה החינמית נתמכת ע"י הקהילה החופשית של המוצר (בלוג ופורום בעיקר). ניתן לקבל בגרסת CORE שירותי FIREWALL וניתוב בסיסיים ועוד כמה פיצ'רים (פחות רלבנטיים לכתבה זו).
להלן טבלת השוואה של הגרסאות.
פיזי או וירטואלי ?
VYATTA מספקת את המוצר גם כקובץ ISO להתקנה על חומרה (שרתים פיזיים) וגם כקבצים של מכונות וירטואליות מוכנות (כולל תמיכה ב-XEN, VMWARE …).
בכתבה זו, אנו מתייחסים להתקנה של VYATTA על שרת פיזי : בדרך כלל חומת אש/נתב יהיו מותקנים על רכיבים המפרידים בין סביבות פיזיות שונות.
תצורת ההתקנה :
כדי לפשט את הכתבה, נתקין את ה-FW/נתב בצורה בסיסית לחיבור בין 2 רשתות שונות.
דרישות להתקנה :
נדרש שרת פיזי בסיסי עם לפחות שני כרטיסי רשת. כל שרת ישן x86 עם לפחות ג'יגה אחת של זיכרון ומספר ג'יגות בודדות של דיסק קשיח יספק את הסחורה.
הערה מעניינת : ניתן גם להתקין את התוכנה על דיסק און קי (DOK) או על CD ולהעפעיל את ה-FW ללא דיסק מקומי (אשמח לדעת אם יש למישהו צורך בדרך זו 🙂 ).
הורדת קובץ ההתקנה :
1 ) יש להוריד את קובץ ה-ISO של אתר היצרן ולצרוב אותו על מדיה (דיסק)
קישור לדף ההורדות
התקנה בסיסית :
2 ) לאחר הדלקת השרת ואתחול מה-CD, נגיע למצב LOGIN. יש לבצע LOGIN עם משתמש vyatta וסיסמא vyatta
3 ) ניתן להפעיל את תהליך ההתקנה של VYATTA ע"י הפקודה הבאה :
install-system
יש לאשר את בחירת המחדל (Yes) ע"י לחיצה על ENTER
4 ) יש לאשר את בחירת המחדל (Auto) ע"י לחיצה על ENTER
5 ) יש לאשר את בחירת המחדל (sda) ע"י לחיצה על ENTER
6 ) יש לרשום yes (וללחוץ על ENTER) כדי לאשר את מחיקת הדיסק הקיים
7 ) יש לאשר את בחירת המחדל (Auto) ע"י לחיצה על ENTER
8 ) יש להמתין עד לסיום התהליך (עד שיגיע ל-100%)
9 ) יש לאשר את בחירת המחדל ויש ללחוץ על ENTER
10 ) יש לבחור ולהקליד סיסמא למשתמש אדמין (פעמיים) וללחוץ על ENTER
11) ש לאשר את בחירת המחדל (sda) ע"י לחיצה על ENTER
12) לאחר קבלת הודעת OK, סיימנו את ההתקנה
13 ) יש להפעיל את השרת מחדש ע"י הפקודה הבאה :
reboot
הערה חשובה : אין להוציא את הדיסק מהשרת עד לכיבוי השרת במהלך הפעלתו מחדש
הקצבת כתובת ניהול והגדרת חיבור וובי:
14 ) נגדיר כתובת IP לשרת כדי לנהל אותו מרחוק. יש להיכנס למצב הגדרות ע"י הפקודה הבאה :
configure
15 ) נגדיר את כרטיס הרשת הראשון (eth0) לקבלת כתובת אוטומאטית (DHCP) ע"י הפקודה הבאה :
set interfaces ethernet eth0 address dhcp
16 ) נפעיל את שירותי HTTPS ו-SSH לניהול מרחוק ע"י הפקודות הבאות :
set service https
set service ssh
17 ) נעדכן את השינויים ע"י הפקודה הבאה :
commit
הערה חשובה : עד להרצת פקודת commit, השינויים לא חלים על המערכת
18 ) נשמור את השינויים ע"י הפקודה הבאה :
save
הערה חשובה : אם לא נשמור את השינויים, הם יתאפסו בהפעלת המערכת מחדש (restart)
19 ) ניתן לצאת ממצב הגדרות ע"י הפקודה הבאה :
exit
20 ) ניתן לוודא קבלת כתובת ע"י הפקודה הבאה :
show interfaces
סיכום :
בכתבה זו למדנו איך להתקין שרת VYATTA בצורה בסיסית עד לרמת נתב בסיסי. בכתבה הבאה, נלמד על הממשק הגראפי (GUI) ואיך להגדיר מדיניות אבטחה בסיסית (FW RULE).
קישורים :
אתר VYATTA – אתר רשמי
אתר VYATTA – קהילה פתוחה (תמיכה חינמית)
קטגוריות: אבטחת מידע, מדריכים | תגיות: Firewall, Free, System, אבטחת מידע, לינוקס |