 | | Šema povezivanja SmoothWall rutera |
Pre nego što svoj vremešni Pentium 1 (ili malko jači) računar unapredite u moderno postolje za fikus u dnevnoj sobi, možda bi trebalo razmisliti o tome da ga pretvorite u dobar i bezbedan router-firewall. Na Netu postoji veliki broj specijalizovanih distribucija Linuxa koje služe upravo za to, a nama je za oko zapao Smoothwall Express, u trenutnoj verziji 3.0 SP3.Ako imate ispravan stari računar s kojim ne znate šta ćete, a ne bojite se eksperimentisanja, pretvorite ga u mrežni ruter, koji možete idealno da „naštimujete” prema sopstvenim potrebama SmoothWall Express je open source aplikacija zasnovana na operativnom sistemu GNU/Linux. Prva verzija izašla je 2000. godine, i to kao rešenje za problem kako da se podeli ISDN Internet sa ostatkom lokalne mreže. Od tada do danas SmoothWall se konstantno unapređuje. Kako je dizajniran sa lakoćom upotrebe na umu, sve opcije podešavaju se iz razumljivog grafičkog interfejsa putem vašeg omiljenog browsera, a od korisnika se ne očekuje da ima ikakvo predznanje Linuxa. Ukratko, SmoothWall Express vam omogućava da sami od svog starog računara lako napravite ruter, preko kog možete računare u svojoj mreži bezbedno da konektujete na Internet. Hardver i instalacija  | | Osnovni ekran web interfejsa |
Pomenuti Pentium 1 radnog takta 200 MHz predstavlja minimum na kojem trenutna verzija radi. Drugi zahtevi su sledeći: 128 MB RAM-a (preporuka je 512), hard disk od 2 GB, kao i minimum jedna mrežna kartica (maksimalno četiri, a o tome ćemo malo kasnije). Za instalaciju je potrebno privremeno obezbediti tastaturu, grafičku karticu, CD-ROM i monitor. Po završenoj instalaciji, ove poslednje četiri stavke su suvišne - ruter ćete od tog trenutka podešavati iz web browsera.Prvi korak je, naravno, preuzimanje instalacije sa adrese www.smoothwall.org, sekcija Download. Na datoj lokaciji postoje dve različite distribucije u po dve podvarijante. Reč je o standardnoj verziji, kojom će se ovaj tekst baviti, kao i o tzv. Developer verziji, namenjenoj onima koji žele da svojim programerskim umećem unaprede već postojeći sistem. Obe distribucije dostupne su u verziji za 32-bitno i za 64-bitno okruženje, tako da u zavisnosti od procesora i memorije svog računara treba da izaberete odgovarajuću. Preuzeti fajl narežite na jedan prazan CD i instalacija može da počne.  | | Grafički prikaz protoka po interfejsima |
Instalacija se obavlja u tekstualnom modu i pokreće se sa narezanog diska, te pre svega proverite u BIOS-u kako ste podesili boot sekvencu. Posle pozdravne poruke da posetite sajt proizvođača, instalacija će vas upozoriti na to da će proces izbrisati podatke sa hard diska na tom računaru. Nakon toga, instalacija deli hard disk na particije i formatira ih, te kopira fajlove sa CD-a. Po završetku kopiranja možete izvući disk iz CD-ROM-a, pošto vam on više neće biti potreban.Od vas se dalje očekuje da izaberete kodni raspored tastature, date ime sistemu i podesite podrazumevanu sigurnosnu polisu. Izbor nije komplikovan i sastoji se od tri stavke: Open (sav saobraćaj sa obe strane firewalla je dozvoljen), Closed (suprotno od prve opcije - sve je zatvoreno i morate ručno da podesite sav saobraćaj) i podrazumevane opcije Half-open. Ova poslednja opcija ima otvorenu komunikaciju za većinu servisa, sem za neke koje predstavljaju velike sigurnosne rizike. Koju god opciju da prihvatite, izmene su moguće i kasnije po završenoj instalaciji, pa vam savetujemo da ostavite podrazumevanu opciju Half-open. Sekcije LAN-a - u boji  | | Quality of Service (QoS) - podešavanja |
Ostaje još da se podesi sama mreža. SmoothWall ima nekoliko opcija koje se podrazumevaju, a koje zahtevaju različit broj mrežnih kartica. Ukoliko ste na Internet spojeni preko USB modema koji je podržan od strane SmoothWalla, a pritom ne želite neko posebno segmentiranje lokalne mreže, dovoljna vam je samo jedna mrežna kartica. S druge strane, ako modem spajate na svoj novi ruter preko mrežnog porta i želite da imate odvojene segmente za lokalnu mrežu, recimo, žična, bežična i serverska mreža, onda će vam za instalaciju biti neophodne četiri mrežne kartice. Da bi konfigurisanje bilo što jednostavnije, izbor uloga za svaku mrežnu karticu prikazan je i bojama - crvena označava internet (WAN) port, zelena lokalnu mrežu (LAN), ljubičasta WiFi, a narandžasta neki namenski server ili DMZ (engl. demiliterized zone). Smisao ovakvog komplikovanijeg deljenja je da različitim mrežama date različite nivoe pristupa, pa tako, recimo, vaš prijatelj koji je u poseti sa svojim laptopom i konektovan je na vašu WiFi mrežu (ljubičasti interfejs) ne može da pristupi vašoj LAN mreži (zeleni interfejs) ako vi to ne dozvolite kroz firewall. Sve računare koje svakodnevno koristite preporučljivo je da smestite u zelenu zonu, iz koje, prema podrazumevanim postavkama, možete da pristupite svim računarima u ljubičastoj i narandžastoj zoni, dok iz ljubičaste možete da priđete samo narandžastoj zoni. U narandžastoj zoni, po pravilu, „sede” web i/ili email server, i ta zona ima izlaz samo na crveni interfejs, ali ne i na narandžasti i ljubičasti, te ukoliko neko čak i uhakuje vaše servere koji se nalaze u ovoj zoni, neće moći da priđe računarima u ostale dve zone. Jedini problem sa ovim komplikovanijim podešavanjima je potencijalno duži vremenski period koji je neophodan za fino štelovanje svih segmenata.Svakoj mrežnoj kartici u sistemu potrebno je podesiti IP adresu, a od toga barem jedna (preporučuje se zelena) mora da ima fiksnu IP adresu - setap podrazumevano nudi 192.168.0.1. Ta adresa kasnije će nam služiti za prilaz ruteru kroz browser s nekog računara iz LAN-a i nastavak podešavanja.  | | Ograničavanje pristupa pojedinim servisima |
U tekstualnom modu možete još da podesite tzv. DHCP server, koji će klijentima na internoj mreži da deli IP adrese automatski, parametre ADSL konfiguracije ako koristite ADSL modem i web proxy, kojim možete znatno da ubrzate pristup često pozivanim sajtovima koji imaju pretežno statičke elemente. Ostavljena je i opcija podešavanja proxy servera ukoliko to od vas traži internet provajder, što je u današnje vreme malo verovatno, te ovu opciju obično ne treba podešavati, već samo potvrditi blanko podešena polja.Na kraju ostaje da se podesi i potvrdi administratorska šifra za sistem. Ukoliko ste sve uradili kako valja, ostaje još da resetujete računar i da povežete (u najjednostavnijem slučaju) svoju lokalnu mrežu na zeleni port, a Internet na crvenu mrežu. Nastavak - iz browsera Ostatak podešavanja, kontrolu i nadogradnju vršimo iz preglednog web menija. Potrebno je da u svoj browser unesete IP adresu rutera sa portom 441 preko protokola secure http (ako ste se do sada držali ovg uputstva, to će biti 192.168.0.1:441), ukucajte admin kao korisničko ime i šifru koju ste podesili, i ruter će vas pozdraviti svojim web interfejsom. Po prvom pristupanju ponudiće vam i opciju da ruter registrujete, što vam i mi preporučujemo. Registracijom šaljete proizvođaču specifikaciju sistema na kojem ste instalirali svoj ruter, a zauzvrat možete da vidite i statistiku o projektu SmoothWall na globalnom nivou, preuzmete administratorsko uputstvo za sistem, kao i da instalirate neke dodatke. Ceo sistem upravljanja podeljen je u nekoliko logično organizovanih sekcija: Control, About, Services, Networking, VPN, Logs, Tools i Maintenance. Klikom na link Control dobijate brzi pregled statusa vašeg firewalla - koliko već dugo radi, statistiku transfera, kao i mali grafikon trenutnog saobraćaja. Odatle možete da resetujete ruter ili da ga ugasite, kao i da dobijete pomoć za neki eventualni problem. Sekcija About zadužena je za statistiku sistema. Na linku Advanced možete da vidite koliko je RAM-a i prostora na hard disku trenutno zauzeto, kao i listu korisnika koji su trenutno priključeni na ruter. Na linku Traffic Graphs možete da vidite mrežnu statistiku za svaki interfejs koji ste konfigurisali (crveni, zeleni...), a na linkovima Bandwith Bar i Traffic Monitor statistiku o saobraćaju na mreži u realnom vremenu. Te opcije mogu biti od značaja u dijagnostičke svrhe, recimo da bi se našlo usko grlo u mreži. Prava podešavanja sistema nalaze se u sekciji Services. Ukoliko želite, možete da uključite opciju Web Proxy i da tako pratite kojim se sajtovima pristupa sa vaše mreže, dok na linku IM Proxy podešavate i kontrolišete instant messenger aplikacije (GTalk, MSN, ICQ...). Pomoću opcija Logs i Web, kao i IM Proxyjem, moći ćete da imate dobar uvid o ono šta se zbiva na vašoj mreži. Standardno, na linku DHCP podešavaćete automatsku dodelu IP adresa po segmentima, kao i broj adresa koji će za to biti rezervisan. Ukoliko koristite opciju dinamičkog DNS-a radi pristupa nekom računaru u lokalnoj mreži sa udaljene lokacije na Internetu, možete da podesite da se SmoothWall za vas loguje i ažurira IP adresu u dinamičkoj listi na serveru dinamičkih adresa (na primer, no-ip.com). Kriptično ime Tab kriptičnog imena IDS u stvari je srce samog firewalla. IDS je skraćenica od Intrusion Detection System - detekcija pokušaja upada na sistem. Da biste taj deo sistema stavili u pogon, moraćete da se registrujete na sajtu www.snort.org kako biste dobili tzv. Oink kôd. Kôd onda iskopirajte u polje Rule Retriever, i od tog trenutka ćete dobijati najnoviju zaštitu automatski, što će vašu mrežu učiniti dodatno sigurnom. Opcija Remote Access služi da omogućite pristup sistemu preko protokola ssh (secure shell), a poslednji link Time služi da podesite parametre vezane za tačno vreme i vremensku zonu kako bi izveštaji sa sistema imali nekog smisla. Na linku Networking dobijaju se detaljnija podešavanja mrežnih parametara, a linkovi sami objašnjavaju opcije koje kriju. U delu Incoming podešavate kako će ruter da se ophodi prema dolaznom saobraćaju sa crvenog porta - biraćete po kom portu ćete prosleđivati koji saobraćaj u svojoj lokalnoj mreži (Port Forwarding). To će vam biti od koristi za neke online igre i slične internet aplikacije koje traže komunikaciju preko specifičnog porta. Opcija na linku Outgoing služi za ograničenje pristupa računarima iz lokalne mreže pojedinim servisima tipa IRC, FTP, email... Ujedno, postoje gotova, predefinisana pravila kojima možete da zabranite pristup pojedinim aplikacijama tipa MSN Messenger i ICQ, Direct x igrama i slično. Ukoliko želite dodatno da uredite saobraćaj na internim portovima (pod uslovom da se koristi više od jednog), kliknite na link Internal. IP Block služi za blokiranje pojedinačnih IP adresa sa Interneta, a opcija Time Access bavi se ograničavanjem pristupa mreži samo na određeno vreme. Quality of Service, ili skraćeno QoS, služi za rezervaciju internet linka za pojedine aplikacije i igre, tako da ukoliko, recimo, koristite Skype dok surfujete, možete da date glasovnoj komunikaciji prednost nad ostalim saobraćajem. U segmentu Networking sa taba Advanced treba pomenuti i opciju Enable UPnP - mogućnost da aplikacije same otvaraju i zatvaraju portove na mreži prema sopstvenim potrebama. Deo koji se bavi logovanjem (beleženjem) šta se dešava na mreži, ukoliko je sve valjano podešeno, pruža pravo zadovoljstvo pri radu. Logove možete da sortirate po vremenu i datumu, po IP adresi ili URL adresi sajta. System Logs (sistemski dnevnici) pružaju informacije o greškama koje su se javile u toku rada firewalla. Recimo, možete da vidite zašto DHCP server nije dodelio IP adresu nekom računaru ili zašto nije preuzeta automatska zaštita sa sajta snort.com i slično. Log Web Proxy daje izveštaj o sajtovima posećenim sa vaše lokalne mreže, a log Firewall daje informacije o napadima koje je ruter odbio. Prilikom pregleda logova možete i direktno da blokirate neku IP adresu ako primetite da sa nje konstantno stižu napadi. Slično tome, log IDS prikazuje razumljivo objašnjenje vrste pokušanog napada. Ako sumnjate na neki bezbednosni propust na mreži, poslednja dva loga su prvo mesto gde treba da potražite informacije. Komunikaciju preko instant messengera možete da gledate i u realnom vremenu ako je jedan od korisnika unutar vaše mreže, kao i da pogledate logove prethodnih čet sesija sortiranih po datumu i aplikaciji iz koje se četovalo. Link Email daje logove o spamu i virusima koje je firewall sprečio da uđu na vašu mrežu preko email poruka. Sekcija Tools daje virtuelnu terminalsku konzolu, urađenu u jeziku Java, u kojoj možete da prosledite komandu sistemu direktno ako za tim imate potrebe i, recimo, da uradite whois upit nekog IP-a ili da pingujete neki računar. Na kraju, opcije koje su usko povezane sa održavanjem rutera nalaze se na linku Maintenance. Tu možete da bekapujete postavke, menjate šifru za pristup sistemu, isključite ruter, kao i da lako nadogradite SmoothWall klikom na Check Updates. • • • SmoothWall Express razvio se u poslednjih 10 godina u veoma ozbiljan sistem. Ostao je blizak originalnoj ideji da pruži sistem koji je bezbedan za korisnika, a da ujedno ostane jednostavan za podešavanje čak i početnicima. Ako pak naiđete na neki nerešiv problem, možete da posetite adresu community.smoothwall.org. Zajednica koja je okupljena oko ovog projekta izuzetno je predusretljiva i uz njenu pomoć sigurno ćete doći do rešenja. Dakle, ako imate ispravan stari računar s kojim ne znate šta ćete, a ne bojite se eksperimentisanja, SmoothWall Express vam pruža idealnu priliku da na zanimljiv i lak način mnogo naučite o računarskim mrežama i da jedan ovakav sistem „naštimujete” baš po svojoj meri. |
