Linux voor de beginnende beheerder - firewall

Het volgende onderwerp binnen de serie: Linux voor de beginnende beheerder, is firewall. Een firewall is soft- en/of hardware dat verkeer tussen verschillende netwerksegmenten controleert en al dan niet doorlaat op basis van aangemaakte regels. Veelal vind je een firewall tussen het LAN en internet. Naast het filteren van wat voor verkeer is toegestaan of niet, vindt in een firewall ook vaak een omzetting van bestemmings- of origine-adres plaats. Dit wordt ook wel DNAT (Destination Network Address Translation) & SNAT (Source Network Address Translation) genoemd.

Lan en DMZ

Om met een ip-adres uit een private range het internet op te kunnen moet dit aan de kant van het internet van de firewall, vertaald worden naar een publiek adres. Het is anders voor de server op het internet niet mogelijk om te antwoorden.

Een veel gebruikte opstelling is dat er naast het LAN (Local Area Network) ook een DMZ (Demilitarized Zone) aanwezig is. Het LAN gedeelte is, bij voorkeur, niet te benaderen vanaf het internet. Om toch bepaalde services (WEB of MAIL Server, etc.) veilig aan te kunnen bieden voor toegang van buiten af (Internet), wordt gebruik gemaakt van de DMZ. Omdat dit een afgeschermd gedeelte is, is het LAN altijd nog beschermd indien iemand zich oneigenlijke toegang tot een van de servers in het DMZ weet te verschaffen. 

In de praktijk zijn firewalls vaak multi functioneel. Funties die een firewall veelal, extra, toegediend krijgt zijn:

- IDS (Intrusion Detection) 

- IPS (Intrusion Protection) 

- VPN 

- Proxy + Webfiltering 

- NTP (Network Time) Server 

- DHCP

IPtables voor linux firewall

In Linux is de basis van een firewall vaak het iptables programma.

Omdat iptables alweer wat ouder is, wordt het (onder andere) bij Fedora vervangen door firewall. Een van de redenen is omdat bij het laden van een nieuwe configuratie met iptables een restart van de firewall en daarmee mogelijk allerlei bestaande verbindingen verbrak.

In tegenstelling tot iptables, ondersteunt firewalld 'zones'. Zones worden toegewezen aan de netwerkkaarten van de firewall. Hiermee kan onderscheid gemaakt worden tussen op basis van waar een client zich in het netwerk bevindt. De beschikbare zones zijn block, block, dmz, drop, external, home, internal, public, trusted & work.

Voor het inrichten van een firewall is behoorlijk wat kennis nodig van het iptables of firewalld programma, indien men dit vanaf de command line wil beheren.

Gelukkig bestaan er verschillende grafische programma?s die het beheer wat eenvoudiger maken en die vanaf of op een andere computer gestart kunnen worden.

Een goed voorbeeld hiervan is het (gratis) programma FWBuilder. FWBuilder is verkrijgbaar voor Linux, Mac OSX en Windows. Naast het configureren van een iptables firewall kan FWBuilder ook overweg met andere firewall oplossingen. Onderstaand overzicht is een overzicht van de ondersteunde firewall omgevingen. 

 - Linux iptables 

◦ 2.4 & 2.6 kernels
◦ Most commonly used modules supported
◦ Support for embedded distros including DD-WRT, OpenWrt and Sveasoft 

- Cisco router access control lists (ACL)
◦ IOS versions 12.1 through 12.4 (other versions unofficially supported) 

- Cisco ASA/PIX
◦ PIXOS 6.1, 6.2, 6.3, 7.0, 8.0, 8.2, 8.3 

- Cisco Firewall Service Module (FWSM)
◦ FWSM 2.3, 3.2 and 4.x 

- OpenBSD pf
◦ All versions, with version specific syntax for 3.x, 3.7 - 3.9, 4.0 - 4.2, 4.3, 4.5, 4.6, 4.7 and later 

- FreeBSD ipfw and ipfilter
◦ All versions 

- HP ProCurve ACL
◦ K.13

Voor sommige van de oplossingen is een betaalde licentie benodigd. Wil je meer weten over Linux? Vraag dan het Linux praktijkboek op om meer te leren. Je bent natuurlijk ook altijd welkom om een reactie achter te laten onder dit blog.