OpenBSD tulemüür

OpenBSD tulemüür

Järgnevad tekstid eeldavad, et ollakse tuttav OpenBSD kui operatsioonisüsteemi kasutamisega ning on olemas mõõdukas ettekujutus TCP/IP protokollist.

OpenBSD operatsioonisüsteemi kasutamine võrgusõlmes on tema üheks oluliseks kasutusalaks. Sõltvualt konkreetsetest vajadustest võib OpenBSD tulemüüril olla realiseeritud selliseid funktsioone

• liikluse filtreerimine - pf, mitmesugustele tingimustele põhinevate piirangute seadmine sh automaatselt täituvad ja tühjenevad blacklistid, synproxy
• NAT - mitte-avalike aadressidega arvutitele interneti kättesaadavaks tegemine
• liikluse prioritiseerimine - altq
• koormusjaotur - pf, relayd
• tulemüüri kluster - mitmest erinevast füüsilisest arvutist koosnev üks loogiline tulemüür (nn active/passive või active/active režiimis; carp, pfsync)
• statistika ja andmete analüüsiks kogumine (pfctl, pftop, tcpstat, pflogd, tcpdump, symon, syweb)
• Sild (ingl. k. bridge)

Muude populaarsete tulemüürilahenduste seas paistab OpenBSD tulemüür silma sellistes aspektides

• reeglite kirjutamise efektiivsus - mitme pordi või aadressi näitamine ühes reeglis, tabeli konstruktsioon, include'id ja ankrud mitmete failide vahel jaotatud seadistuste kasutamiseks
• tulemüüri oleku jälgimise võimalus - pfctl utiliidi abil saab suvalisel ajahetkel täpselt kontrollida, millised ühendused tulemüürist läbi käivad ja millised paketifiltri reeglid on ühendusega seotud
• tulemüüri paketifiltri tegevuste logimine - saab täpselt logida, millised pakette on lubatud läbi või milliseid on takistatud
• synproxy - tulemüür tekitab tulemüüri taga töötava serveri eest ära 3-way tcp handshake, et kaitsta serverit syn-floodi eest
• tcpcookies kasutamise võimalus puudub
• aktiivne/passiivne kluster - kahest arvutist saab moodustada ühe loogilise tulemüüri, igal ajahetkel pakub teenust vaid üks klustri komponent, kusjuures ümberlülitumisel võetakse üle ka ühendused, st olemasolevad tcp ühendused ei katke
• aktiivne/aktiivne kluster - kahest arvutist saab moodustada ühe loogilise tulemüüri, nt src ip aadressi alusel käib kliendi ühendus tulemüüri taga oleva serveriga kas läbi ühe või teise tulemüüri

Lisaks saab sõltuvalt vajadusest olla tulemüüril käivitada nt selliseid teenuseid, mis küll iseenesest ei tulemüürimisega seotud

• dhcp server
• nimeserver - bind
• VPN - IPsec, OpenVPN
• veebivahendaja - squid
• greylisting tarkvara - spamd
• tftp
• ntp

Teemad

Käesolev käsitlus esineb pigem reaalselt tõenäoliselt esinevatele probleemidele sobivate lahenduste väljapakkumisena kui keskendub tähestikulises järjekorras erinevate programmide manuaalide (ingl. k. manpages) ümberjutustamisele.

• Tulemüüri kasutamise vajadus
• Tulemüüri ettevalmistamiseks vajalik riistvara ja tarkvara
• Paketifiler
• Kahe võrgukaardiga ruutiv tulemüür
• Kahe võrgukaardiga aadressteisendav tulemüür
• Enam kui kahe võrgukaardiga tulemüür
• Liikluse prioritiseerimise ja koormusjaotusega tulemüür
• Mitme välisühendusega tulemüür
• Passive-active tulemüürikluster
• Active-active tulemüürikluster
• Sild

Märkused

• Paketifiltri abil ei saa kirjutada ümber OpenBSD arvutis lokaalselt genereeritud paketi dst ip aadressi ja porti.

Kasulikud lisamaterjalid

• http://home.nuug.no/~peter/pf/en/long-firewall.html
• Pf ja iptables ning ipfilter testid
• http://www.benzedrine.cx/pf-paper.html
• http://undeadly.org/cgi?action=article&sid=20060927091645 (kolmeosalise artikli esimene osas, viited teistele seal)