BlockOutTraffic

Aus IpcopWiki
Wechseln zu: Navigation, Suche
BlockOutTraffic
BlockOutTraffic-Logo
BlockOutTraffic-Logo
Basisdaten
Entwickler: Achim Weber
Version: 2.3.2 - Build 2  (27. Februar 2007)
Größe: 100 KB (tar.gz)
supported: IPCop v1.4.15
Lizenz: 2007
by Achim Weber
Sonstiges: Preis: kostenlos
Sprache: deutsch, englisch, franösisch, dänisch, spanisch, portugiesisch
Website: www.blockouttraffic.de/

IPCop schützt in der normalen Installation das Netz von aussen, nicht aber bei schon eingefangenen Viren oder Trojanern andere Systeme ausserhalb des LAN von Innen. Dieses AddOn ist dafür zuständig, sämtlichen ausgehenden Verkehr zu kontrollieren und ggf. zu blocken. Es arbeitet allerdings nur auf Paket-Ebene und die Einrichtung ist nicht ganz einfach.

Schritt-fuer-Schritt-Anleitung

Da mir die Einrichtungs-Doku bisher zu schwer war, versuche ich mal hiermit eine Schritt-fuer-Schritt-Anleitung für den BOT. Eingesetzt wird die Version 2.3.1 Build 2 ohne AddOn-Server.

Installation

Ich stimme soweit der BlockOutTraffic Installation Dokumentation zu, allerdings sollte man vorher ein Unterverzeichnis erstellen, in welchem man BOT entpacken möchte. Ich habe also

  • BOT in der Version heruntergeladen
  • per WinSCP auf den IPCop in mein /root-Verzeichnis kopiert
  • mich mit putty eingewählt und ein Verzeichnis namens bot erstellt...
mkdir bot

...die Datei dahin verschoben...

mv BlockOutTraffic-<version>-GUI-b<buildnumber>.tar.gz bot

... und bin in das Verzeichnis gewechselt, habe die Datei entpackt und dann installiert:

cd bot
tar zxvf BlockOutTraffic-<version>-GUI-b<buildnumber>.tar.gz
./setup

Voraussetzung zum Ueben

Damit man weiss, ob man den BOT richtig einstellt, sollten folgende Vorraussetzungen getroffen werden:

  • Einen weiteren PC zum Testen der Funktionen
  • Mehrere Browser-Fenster des IPCop öffnen, und zwar: "Firewall-Logdateien", "Block Outgoing Traffic" und "Erweiterte BOT Konfig".

So gerüstet, kann man relativ gut experimentieren.

Einrichtung BOT

Nach der Installation finden sich unter dem Punkt "Firewall" einmal "Block Outgoing Traffic" und "Erweiterte BOT Konfig" als Menüpunkte. Ruft man "Block Outgoing Traffic" auf, sagt das AddOn, dass notwendige Daten fehlen und die Einrichtung nicht vollständig sei. Dafür sind, hier stimme ich der Anleitung ebenfalls vollkommen zu, die MAC-Adresse und der IPCop-HTTPS-Port wichtig, damit niemals der Zugriff vollständig verweigert wird. Die unteren Punkte habe ich wie folgt bearbeitet:

  • Keine related, established Verbindungen erlauben (ist nur notwendig, wenn Anfragen von aussen beantwortet werden sollen)
  • Pakete Loggen, auf die keine Regel passt
  • Drop Pakete, auf die keine Regel passt
  • erweiterten Modus aktivieren

Danach wird BOT gestartet und es geht ans Eingemachte. Es sei noch einmal ans Herz gelegt, dass die Einrichtung nicht trivial ist und man sich dafür eine Menge Zeit nehmen soll. Als Belohnung winkt eine ganze Menge mehr Verständnis über das System und eine sehr grosse Sicherheit.

Einrichtungsmoeglichkeiten

Es gibt grundsätzlich zwei Einrichtungsvarianten des BOT:

  • alles Sperren, nur explizit eingerichtete Verbindungen werden erlaubt (Standard)
  • Regeln einsetzen, welche alles erlauben, nur explizit gesperrte Verbindungen werden blockiert.

Diese Einrichtungsvarianten entprechen im Grundsatz denen einer "normalen" Port-Firewall. Beide Varianten können auch in Kombination eingesetzt werden, es ist aber immer auf die Abarbeitung der Regeln zu achten, da die erste Regel schon auf das jew. Paket zutreffen könnte.

IPCop als Webproxy

Arbeitet der IPCop nur als WebProxy ist es wichtig, sich Gedanken zu machen über:

  • welche AddOns werden auf dem IPCop eingesetzt
  • welche Dienste sollen erlaubt sein
  • wie sollen die Dienste oder AddOns erreicht werden.

Ein Beispiel: Es soll der IPCop mit AdvancedProxy und URLFilter zum Surfen eingesetzt werden. Der Proxy läuft transparent. Das Standardgateway aller Clients und der DNS-Server aller Clients ist der IPCop. Hieraus sind folgende Informationen wichtig:

  • Surfen, also Port 80 und Port 443 (beide TCP) werden genutzt
  • Da der Proxy bzw. URLFilter eingesetzt werden, werden die Ports automatisch "umgebogen" auf den Proxy-Port (Standard TCP:800, gitl auch beim transparenten Einsatz!), ohne Proxy würde man TCP:443 und TCP:80 getrennt eintragen
  • Da der IPCop DNS-Anfragen weiterleitet, muss UDP:53 zur Verfügung gestellt werden.
  • Webserver sollen direkt anpingbar sein (ICMP, ist zum Surfen nicht notwendig)

Hieraus definieren sich also auch die Aufgabenbereiche: Welche Funktionen stellt der IPCop zur Verfügung, welche Funktionen leitet der IPCop nur durch?

Konfiguration fuer Webproxy

Als erstes gehen wir in die "Erweiterte BOT konfig" und definieren diese Dienste unter eigenem Namen als da wären:

Dienstname Ports Protokoll ICMP-Typ
ipcop dns 53 UDP kein Eintrag
ipcop http proxy 800 TCP kein Eintrag
ipcop icmp kein Eintrag ICMP (ALL)

Die ICMP-ALL-Einstellung kann eingeschränkt werden auf echo request und echo reply! Zudem sind DNS und HTTP schon als Standard-Dienste vergeben, diese brauchen dann eigentlich nicht angelegt werden. Danach wechselt man im oberen Bereich des Fensters von Dienst Einstellungen auf Dienst Gruppierung und klickt den Button "Zeige Firewall Einstellungen". Jetzt werden 2 Gruppen definiert:

Gruppenname Kommentar
aussendienste Dienste, welche von innen erreichbar sein sollen
www diese Dienste stellt der IPCop selbst zur Verfügung

Es werden unsere konfigurierten Dienste wie folgt auf die Gruppen verteilt:

Gruppenname Dienst
aussendienste ipcop icmp
www ipcop dns
www ipcop http proxy

Haben wir diese Dienste so eingetragen, dann erstellen wir jetzt für jede Gruppe eine Regel für die Firewall. Dazu wechseln wir auf die Seite Block Outgoing Traffic:

Quelle Ziel Anmerkung
Green Network Any:aussendienste Zugriff nach aussen
Green Network Ipcop:www Zugriff auf den Proxy zum Surfen

Es ist auch möglich direkt die Standard-Dienste anstatt einer Dienste-Gruppe einzugeben. Durch die Gruppierung wirkt das Ganze Regelwerk aber übersichtlicher.' Nach ein paar Sekunden sollten diese Regeln anfangen zu wirken. Falls nicht, ist eine Beobachtung des Firewall-Logprotokolls wichtig, hier tauchen dann entspr. DROP-Meldungen auf.

Fazit

Die oben stehende Beschreibung bezieht sich darauf, wenn explizit Verbindungen freigegeben werden sollen. Wird der IPCop zusätzlich als DHCP- oder Zeitserver fungieren, so müssen dementsprechend weitere Dienste für den Zugriff auf den IPCop erlaubt werden:

  • bootpc, bootps (DHCP Port 67, 68, TCP & UDP )
  • ntp (Zeitserver Port 123, TCP & UDP )

Für weitere Dienste wie den Einsatz des BOT mit Copfilter folgen später Beschreibungen. Weitere Fragen beantwortet relativ gut die FAQ-Seite des Autors und das Team des http://www.ipcop-forum.de.

Versionen

>= 1.0
Version Datum
1.0 Build 1 21. November 2003
>= 2.0
Version Datum
2.0 Build 1 15. Dezember 2003
2.1 Build 1 06. Februar 2004
2.2 Build 1 19. Januar 2004
2.2 Build 1 Update 1 16. Juni 2004
2.2 Build 1 Update 2 20. Oktober 2004
2.2 Build 2 09. Mai 2005
2.2 Build 2 09. Mai 2005
>= 2.2.0
Version Datum
2.2.1 Build 1 31. Mai 2005
2.2.2 Build 1 15. Juli 2005
2.3 Build 1 07. Februar 2006
2.3 Build 2 13. Februar 2006
2.3 Build 3 03. März 2006
2.3 Build 4 12. April 2006
2.3.1 Build 1 19. Juli 2006
2.3.1 Build 2 14. August 2006
2.3.2 Build 1 24. Januar 2007
2.3.2 Build 2 27. Februar 2007
>= 3.0.0
Version Datum
3.0.0 Build 1 12. Januar 2008
3.0.0 Build 2 5. Februar 2008
3.0.0 Build 3 11. April 2008


Download

Weblinks