10.2.06

Κάνε τον παλιό σου υπολογιστή firewall...

Σε αυτή την ενότητα θα ποστάρω την κατασκευή ενός hardware Firewall.

Όχι, δεν το ανακάλυψα εγώ... απλά όποιος διψάει ας ακολουθήσει την εμπειρία μου, να ανταλλάξουμε απόψεις.

Επειδή είμαι τεχνικός και όχι ο Λέο Μπουσκάλια (συγγραφέας) δικαιολογήστε μου το τρόπο πού γράφω, εννοώντας ότι κάποια πράγματα τα αντιλαμβάνονται πιο πολύ οι ειδικοί, αλλά δεν θα θελα να αφήσω και τους ανθρώπους πού θέλουν να ξεκινήσουν, η να δοκιμάσουν κάτι καλό, λιγότερο ενημερωμένους!

Και εγώ κάποια στιγμή έσπασα τα μούτρα μου, για να κάνω κάποια πράγματα να δουλέψουν όπως ήθελα εγώ και όχι όπως ήθελαν εκείνα!

Άμα σε τρωει το σαράκι που λεει ο λαός μας για κάτι.......

Ιδού λοιπόν η κατασκευή. παρατηρήστε προσεχτικά την Compact flash Card(κάθετα) σε ρόλο σκληρού δίσκου στο κέντρο της μητρικής, και στην αριστερή πλευρά το hubάκι πού ξήλωσα απ το κουτί του για να το προσαρμόσω στο κουτί του υπολογιστή.

Η ''ιστορία'' είναι κατ αρχήν εύκολη, φθηνή, και απίστευτα υψίστης ασφαλείας.

Για τους μυημένους μια επίσκεψη στο http://smoothwall.org θα τους πείσει!


Αυτό βρίσκεται στον πάτο του κουτιού, και είναι το modem(Zoom 3049)..ελαφρώς πειραγμένο, με ξηλωμένα τα ledάκια του, τα οποία παίζουν στην πρόσοψη, για να βλέπω το status.

Το συγκεκριμένο modem είναι PSTN 56K ATI COMPATIBLE, κάτι που το χρειαζόμαστε γενικά στο Linux.

Λοιποί τώρα, καλά θα κάνετε να δώσετε λίγο σημασία!
Γιατί θα πούμε ελαφριά, και πνευματικά εύπεπτα πράγματα, πού απαιτούν στοιχειώδεις γνώσεις υπολογιστών, και όχι GURU Level.

Είπαμε, δεν δίνουμε εξετάσεις για χάκερ .... μας αρέσει όμως να μην μας πιάνουν....με ξόβεργα!

Τι είναι στ αλήθεια ένα hardware firewall? Χρειάζεται?

Σε τι διαφέρει π.χ απ το ZONE ALARM PRO ?(που σημειωτέον είναι εξαιρετικό).

Πράγματι υπάρχει μια μικρή διαφορά εδώ και είναι η εξής:

Eνα software firewall εγκαθίσταται στον ίδιο σκληρό δίσκο (c:\ Zone alarm.exe), μαζί με το λειτουργικό μας σύστημα, που τρέχουν και όλα τα υπόλοιπα προγράμματα μας.

Αυτό σημαίνει ότι αν ένας χάκερ, καταφέρει και σπάσει την άμυνα του συστήματος μας, μπορεί πολύ εύκολα να κατευθυνθεί στον φάκελλο c:\Windows.....με ολέθρια αποτελέσματα!

Πληροφοριακά, απο παρόμοια σκηνικά έχουν χτυπήσει ΛΟΥΚΕΤΟ, αρκετές εταιρίες ανα τον κόσμο!!

Σε ένα hardware firewall τα πράγματα αλλάζουν...

Εδώ το pc-firewall, όπως ήταν στο αρχικό στάδιο της κατασκευής του.Το συγκεκριμένο είναι ένα pentium 2 στα 333MHZ, (Deschutes επεξεργαστής) με 384 MB μνήμη.

Ο υπολογιστής μας, η το εσωτερικό μας δίκτυο,..κρύβεται(hide) πίσω από μία διεύθυνση IP πού την παίρνει όμως είτε στατικά,(static ip) είτε δυναμικά,(dynamic ip) απ το ίδιο το firewall, χωρίς όμως αυτή η διεύθυνση να φαίνεται στον ....έξω κόσμο, και έχει π.χ την μορφή 192.168.0.1

Κάθετα βλέπουμε τις εισόδους του hub , που σημαίνει ότι plugάρουμε άνετα 7 pc, πάνω αριστερά είναι το in και το out της σειριακής, ώστε να την ελευθερώνω όποτε θέλω για οποιοδήποτε λόγο.

Παρατηρήστε επίσης το γεφύρωμα στην κάρτα δικτύου, μπαίνω και ξαναβγαίνω στο firewall εξωτερικά, όπως και με την σειριακή, για να την αποδεσμεύσω σε περίπτωση βλάβης, και να μην χρειάζεται κόλλημα -ξεκόλλημα.

Κατα τ άλλα κάρτα γραφικών και πληκτρολόγιο παίζει μόνο την πρώτη φορά για το σετάρισμα του...μετά...τσάμπα καίει η λάμπα που λέμε, αν και προσωπικά, έχω κάρτα, και ένα VGA SWITCHER γιατί θέλω να τα βλέπω όλα!

Το ίδιο το firewall τώρα χρησιμοποιεί άλλη διεύθυνση για να βγεί στον έξω κόσμο, στον ιστό.

Σ αυτή την περίπτωση αν κάποιος σπάσει την άμυνα του δικτύου μας θα περιφέρεται...αν τα καταφέρει, ασκόπως στό firewall, χωρίς να μπορέσει να έχει πρόσβαση στον υπολογιστή μας!!

Προσοχή!

Δεν είμαι εντεταλμένος της Symantec , η της Cisco , αλλά επειδή μ' αρέσει, θέλω να βοηθήσω έστω και έναν να γίνει πιο ασφαλής στο διαδίκτυο...ειδικά τώρα που το κόστος των ADSL συνδέσεων κατεβαίνει .

Ξέρετε, ακούω καμιά φορά, ακόμα και απο ανθρώπους του χώρου το εξής:

Εεεεελα μωρέ και τι θα μου πάρει?(Ο χάκερ)Τις φωτογραφίες η τα MP3?

Οχι μεγάλε,...απλά είναι στην ευχάριστη θέση να σε κάνει SERVER για να πραγματοποιήσει τα δόλια σχέδια του,....και εννοείται εσύ θα την πληρώσεις τη νύφη, γιατί εσύ θα φαίνεσαι, όχι αυτός!


Δεν θα αναλύσουμε τρόπους διείσδυσης εδώ, (μεγάλο κεφάλαιο...) θα δούμε όμως γιατί αυτός ο τύπος firewall είναι καλύτερος.

Το hardware firewall στην συγκεκριμένη περίπτωση είναι ένας υπολογιστής στην πιο light έκδοση του που μπαίνει μεταξύ του ίντερνετ και του βασικού υπολογιστή πού δουλεύουμε, η του τοπικού δικτύου μας αν υπάρχει, μέσω ενός hub, η switch.

Έχει εγκατεστημένη μια διανομή Linux στα σωθικά του ,όπου τρέχει μόνο αυτή και τίποτα άλλο.

Επιτρέπει να μπαίνουν, και να βγαίνουν τα πάντα, και στηρίζεται σε κανόνες,(rules)όπως και ο πραγματικός μας κόσμος!

Τότε τι κάνει?

Απλά μας καθιστά αόρατους στον παγκόσμιο ιστό...γιατί ξέρεται, υπάρχει και ένα ρητό που λεει πως ''ότι φαίνεται χτυπιέται''.

Μα εγώ έχω Windows θα ρωτήσει κάποιος, δουλεύει?...Δεν υπάρχει κανένα πρόβλημα απαντώ.

Η σύνδεση των δύο υπολογιστών (αν έχουμε μόνο δύο)γίνεται μέσω δύο καρτών δικτύου και ενός crossover UTP καλωδίου.

Μπαίνουμε μέσω web access, που σημαίνει ότι όποιο λειτουργικό, και όποιον περιηγητή ιστού( καλό, ε?)κοινώς browser, και αν έχουμε θα τον χρησιμοποιήσουμε για να εισέλθουμε και να το ρυθμίσουμε, γράφοντας απλά https://192.168.0.1:441 , η http://192.168.0.1:81.

Τώρα γιατί χρησιμοποιεί τα ports 441 αντί για 443 , και 81 αντί για 80 είναι φυσιολογικό .

Η 443 χρησιμοποιείται σαν authentication απο την μικρομαλακή του Βασίλη, και η 80 είναι η γνωστή http.

Περισσότερα στο manual που θα κατεβάσετε απο την τοποθεσία του firewall, η ρωτήστε!

Απλό?
Τουλάχιστον απλό, λεω εγώ.
Κοινώς το αφήνουμε σε μια γωνιά του σπιτιού, η και της επιχείρησης μας, και δεν το ξανασκαλίζουμε.

Τι πιο απλό απ το ν' αγόραζα ένα τροφοδοτικό με έλεγχο στροφών για να μην ακούγεται ο ανεμιστήρας(σιγά μην αγόραζα) ....κι όμως, προτίμησα να το φτιάξω, είναι η μικρή διάτρητη πλακετίτσα δεξιά της ψύκτρας η οποία φιλοξενείται μόνιμα στο κουτί του!

Δουλεύει πλέον για μάς.

Κατά τ άλλα ας τους άλλους να πληρώνουν ένα τσουβάλι λεφτά, για φίρμες, support, άδειες χρήσης, εμφανίσιμα κουτάκια, και ένα στόλο από μικρά πράσινα ανθρωπάκια να ροκανίζουν τα λεφτά της επιχείρησης σου....εννοείται κάθε χρόνο για ανανέωση αδειών, αλλιώς θα αφήσουνε τα κακοποιά στοιχεία, δούρειους ιππους ,(trojans) ,και λοιπό σκυλολόι του διαδικτύου να σε φάνε !!

Συγνώμη για να καταλάβω... έτσι πάει? Δεν νομίζω....

Και πόσο κάνει? τσάμπα είναι?

Στην οθόνη φαίνεται ο wizard της εγκατάστασης,(ούτε 10 λεπτά δεν κρατάει) και αυτό που βλέπουμε αριστερά, είναι ενα χακεμένο σκληρό δισκάκι 200MB μόνο!!!. (εννοείται απο προπολεμικό laptop...)

Κοίτα...

Αν κατάφερες και διάβασες μέχρι εδώ, να ξεκαθαρίσουμε κάτι!

Μην μπερδεύουμε το free(ελεύθερο) με το τσάμπα(δωρεάν).

Αναφέρομαι γενικότερα στο ανοιχτό λογισμικό που είναι γενικώς free under GPL LICENSE.

General Public License, η Άδεια γενικής χρήσης.

Δηλαδή, ο καθένας έχει πρόσβαση στον κώδικα(να τον κάνει μαλλιά κουβάρια) και να τον αναδιανείμει δωρεάν!

Μα βλέπω ότι το SUSE Linux κάνει 90 ευρώ...

Και πολύ σωστά βλέπεις...

Αναλαμβάνει λοιπόν κάποια εταιρία π.χ Red Hat, Novell, Mandrake, να μαζέψει σε ένα πολύ μεγάλο πακέτο(πίστεψε με)όλο το software που χρειάζεται ένα pc και ένας χρήστης, και να το διανείμει έναντι ενός συμβολικού ποσού για τα 5 CDs που παραλαμβάνεις, τα δύο πλήρη manual, και να βγάλουν και κάτι οι μεταφορείς.
Μιλάμε για 10 GB λειτουργικό έτσι και ξεδιπλωθεί με ότι μπορείς να ονειρευτείς!

Αν πας στην μικρομαλακή του Βασίλη Θύρα, για το ίδιο πακέτο, θα πληρώσεις άπειρα λεφτά!!!!!!!!!!

Γιατί φωνάζουμε και λέμε, να αλλάξει λειτουργικό, ο τεχνολογικά προπολεμικός δημόσιος τομέας μας??!!
Ασφάλεια, σταθερότητα, ταχύτητα, απίστευτες λειτουργίες δικτύωσης είναι τα όπλα του ανοιχτού λογισμικού!!

Kαι από ιούς, restart κ.λ.π??

Κομματάκι ανύπαρκτα.....

Τι λεφτά χάνονται θε μου.....

Τυχόν αμφιβολίες συζητήσιμες.....

Και επανέρχομαι..

Έχεις ένα παλιό, παροπλισμένο pc ,κατεβάζεις απ το http://smoothwall.org
την διανομή, το στήνεις και σερφάρεις.

Προσωπικά όταν βρίσκω λίγο ελεύθερο χρόνο πηγαίνω στα forum και 'ψαρεύω' newbie (έτσι αναφέρονται τα νέα παιδιά που ξεκινάνε κάτι)και λύνω τις απορίες τους απαντώντας στις ερωτήσεις τους.

Το nickname μου εκεί είναι nemo1 .

Κάποια στιγμή θα μπούνε και άλλες φωτογραφίες γιατί ότι λέμε εδώ υπάρχει ήδη, και ''τρέχει''......

Αυτές τις εικόνες και όχι μόνο, βλέπουμε όταν μπαίνουμε μεσω web access στο firewall.
Αριστερά έχουμε γράφημα της κίνησης στο Ιντερνετ, ενώ δεξιά το περιβόητο μέχρι αυτή την στιγμή που γράφονται αυτές οι γραμμές( λόγω σκανδάλου vodafone*) log file , η αλλιώς αρχείο καταγραφής της διαδικτυακής μας κίνησης....

*Μιας και το ανέφερα πόσο κουτόχορτο νομίζουν κάποιοι ότι μπορούμε να φάμε ακόμα...λές και δεν ξέραμε ότι....ΜΑΣ ΑΚΟΥΝΕ!

10 σχόλια:

Τρύφων είπε...

Ωραία όλα αυτά με το Firewall αλλά ακριβώς την ίδια δουλειά (IP routing) την κάνει και το τελευταίο και πιό άχρηστο ADSL μοντεμάκι + ότι στα περισσότερα υπάρχει και ένας πραγματικός firewall όπου μπορείς να ρυθμίσεις και σε ποιά port επιτρέπεται η επικοινωνία και άλλα πολλά.

michael backolas είπε...

Βρε συ τρύφωνα μου , έτσι είναι όπως τα λές , και έτοιμη λύση παίζει και ότι θέλεις, αλλά κοίτα μια μικρή διαφορά.......δεν κάνω presentation σε τυποποιημένο προιόν π.χ linksys ,...όμως χωρίς να ξανα ανακαλύπτω τον τροχό ,(γιατί ,τι πιο απλό να πάς να το πάρεις ,να το βάλεις , και τελείωσε)μιλάω για κατασκευή , φτιάξιμο ,(δηλ.το μαγειρευτό φαγητό , δεν είναι πιο καλό απ το ψευτοdelivery?)...είδες τι λέω στο header?..Καντ' το να δουλέψει για σένα!...αυτό είναι το νόημα.
Ευχαριστώ για το σχόλιο σου!

Τρύφων είπε...

Δεν μπορώ να φέρω αντίρηση σε όσα λες, αλλά παραδέξου το, ξανά-ανακαλύπτεις τον τροχό - δεν είναι κακό αυτό, και σε μένα αρέσει να το κάνω μερικές φορές, ...για εκπαιδευτικούς λόγους τουλάχιστον. :-)

michael backolas είπε...

Κάπου έχεις δίκιο, αλλά ξέρεις...είμαι τελείως ξεκάθαρος στο θέμα αυτό, όντως υπάρχει μια εκπαιδευτική τάση, και όχι σπασομουτρατζίδικη για τους άλλους να το πώ έτσι φίλε τρύφωνα, για ένα λόγο και μόνο...enough,..enough στο θέμα του κρυψινισμού πληροφοριών , και άλλα πολλά!..και θα σου εξηγήσω αμέσως!Επειδή κοντά-σιμά είμαστε στην ίδια γενιά ,εμείς είδαμε τα πράγματα λίγο διαφορετικά...εώς πολύ ζόρικα θα έλεγα στο θέμα της τεχνολογίας, και ποιός ξέρει..επειδή προσωπικά τα κανα όλα μόνος, να προσπαθώ τώρα στα 40, να βγάλω τ αποθημένα μου να το πω έτσι, με αυτο τον τρόπο, δίνοντας έτοιμη τροφή, θα μπορούσα να το χαρακτηρίσω.
Παραδέχομαι λοιπόν ότι, έχω ένα γιό 7 χρονών, και ήδη ζαχαρώνω το σχολείο του...κα τι εννοώ.
Είμαι διατεθειμένος λοιπόν κατόπιν συλλόγου που θα γίνει, και αφιλοκερδώς απο εμένα, να διαθέσω 5-7 μηχανάκια στημένα σε μια αίθουσα, με μια ελαφριά(education)διανομή linux, και να κάνω μαθηματάκια στους αυριανούς μας πολίτες κάθε σαββάτο π.χ για 3-4 ώρες(μη χαλάν και τα ματάκια τους),και όλα αυτά χωρίς χρήματα..επειδή λοιπόν το πιο πιθανό είναι να συναντήσω και καναν ξυνομούρη στο σύλλογο, απ αυτούς που τους χαρίζεις...Linux, και το κοιτάν στα δόντια, και επειδή είμαι άνθρωπος που μ αρέσει να φτιάχνω, και να εξηγώ, με αυτο το πρίσμα λοιπόν χαίρομαι που σήμερα κάποιος άνθρωπος εδώ συμμερίζεται θετικά, αυτά που πρεσβεύω δημοσίως..γιατί το κυριότερο είναι, ότι γίνονται χωρίς δόλο!
Συγνώμη αν σε κούρασα και με την μικρή ιστοριούλα που σου ανέφερα,άλλα έχω πολύ καλή σχέση με τον διάλογο, πίστεψε με!!
Ευχαριστώ για το σχόλιο σου!

Τρύφων είπε...

Φίλε Μιχάλη μαζύ σου!
(Πρόσθεσα το βητολόγιο (blog) σου στις συνδέσεις του δικού μου)

michael backolas είπε...

Τρύφωνα το λιγότερο που μπορώ να πώ είναι ευχαριστώ, και πραγματικά εκτιμώ την κίνηση σου!
Να σαι καλά!

warningdang είπε...

Kalhmera,
Kala ola auta... alla 8a h8ela na se rwthsw kati... Auto to paradeigma pu mas dineis exei na kanei me firewall mono h' kai me gateway h' proxy? Rwtaw giati se kapio shmeio anafereis oti xrhshmopoieis alles ports sto browser. Me linux den exw asxolh8ei... 8a proteines ms win98se kai "Shared Internet Connection"?

PS: Poly kalh douleia.
Keep working :)

Thnks 4 yr time!

warningdang είπε...

Logw viasinhs ekana ena la8aki...
sta win98se 8a "kremasoun" ta diktyaka se 2-3 meres... apo thn allh milame gia open source os...

tespa apanthse an sou einai eukolo sth allh erwthsh...

Thnks 4 yr time!

michael backolas είπε...

Καλησπέρα warningdang!

Σ ευχαριστώ κατ αρχήν για το ενδιαφέρον σου, και δεν το λέω τυπικά.

Κοίτα...

Το smoothwall τρέχει έναν ενσωματωμένο DNS proxy Server, και εξυπηρετεί μέσω αυτής της υπηρεσίας...τα συνδεόμενα client pc.

Επίσης τρέχει έναν Web Proxy Server(πως θα ταν δυνατόν να λείπει),όπου σου επιτρέπει να ρυθμίσεις αρκετά πράγματα, όπως : το μέγεθος της cache,τον remote proxy (αν υπάρχει), το maximum upload, το maximum download (για μυστήριους χρήστες τύπου : α, ωραία λείπουν όλοι....ας κατεβάζουμε κανα 2 γίγα!!)

Επίσης παρέχει δυνατότητα transparent λειτουργίας...κάθεται ο προιστάμενος μόλις φύγει το προσωπικό, και βλέπει που "έκοβαν" βόλτες εν απουσία του...

Για τις πόρτες που αναφέρονται,...να θυμηθούμε ότι σαν standard διεθνώς, η πόρτα 445 που χρησιμοποιείτε απ όλα τα pc σαν authentication, δεν θέλουν και δεν την χρησιμοποιούν στο firewall οι developers της κατασκευάστριας εταιρίας, για να μην έχουμε conflict υπηρεσιών...ποιός ξέρει ποιό "service" θα μπορούσε να "χτυπήσει"!

Το ίδιο ισχύει και για την απλή πρόσβαση μέσω http,...και εκεί χρησιμοποιεί την 81, και όχι την 80, που είναι η web, για τον ίδιο λόγο ακριβώς.

Οχι, δεν θα πρότεινα MS win98...και shared internet connection...δεν υπάρχει λόγος.

Η πρόσβαση καλό είναι να γίνει μέσω https, και όχι http, καθαρά για λόγους ασφαλείας.

Στην γραμμή του browser που χρησιμοποιείς απλά γράφεις : https://192.168.0.1:441.

Στο θέμα που λέμε ότι είναι open source εφαρμογή, μην αγχώνεσαι....αν δείς πώς στήνεται...θα εκπλαγείς.

Και κοίτα κάτι μοναδικό που συμβαίνει!

Είδα ότι είσαι καλαμάτα...αύριο 16, αλλά και 17 Μαίου θα είμαι στην Καλαμάτα και τις 2 μέρες για μιά δουλίτσα.

Το κινητό μου είναι 6978 828 434....αν υπάρχει χρόνος και απο την μεριά σου και θέλεις, επι τη ευκαιρία, μπορούμε να τα πούμε κάτω.

Προσωπικά καλού-κακού, θα πάρω μαζί μου και τα 2 manual του firewall, και τo cd εγκατάστασης...και αν είμαστε τυχεροί, μπορεί να το στήσουμε σ ένα παλιό σκληρό(αν υπάρχει),..και σε οποιοδήποτε μηχανάκι.(pc)

Πήγαινε μια βόλτα και στο site (www.smoothwall.org)και ρίξε και μιά ματιάαν θές στο forum, και στα FAQ.

Πιστεύω να μην σε μπέρδεψα παραπάνω, και να σε βοήθησα.

(^_^)

Andreas Dimitropoulos είπε...

mixali kalimera eisai pigi mathisis k spanious anthropos fainete apo dotikotita s diavasa to athro s an k kapws asxetos sto xwro ton diktion m entiposiases dioti k egw de m aresoun oi etoimes luseis k tha ithela k to firewaall na stisw kapoia stigmi alla k na ksekinisw na diavazq k an asxolitho me ta diktia genmika to email m einai stratovirus28@gmail.com tha xarw poli na m stileis k na ta poume k an thes na me katatatopiseis sxetika me to pou na kateythintho gia meleti panw sta diktia sinexise file m toso dotiki anthropoi k akopleksatisti loipoun apo to xorw distixws