Vsak izmed nas je v življenju kdaj »ukrivil« splošno znana pravila in se prekršil zavoljo lastnega ugodja. Vsi imamo skomine, za katere se ve, da niso sprejemljive širši družbi. Včasih se kakšni podredimo, a največkrat željo zatremo v kali. Ker vemo, kje je meja. Na žalost nimamo vsi tega »notranjega policista«. Za tiste brez njega so tu ustrezne službe in organi. V podjetjih njihovo vlogo opravljajo administratorji, vsaj kar se informacijskih sistemov tiče. In verjemite, imajo polne roke dela. Prav zanje in za tiste, ki administratorjev sploh nimajo, je bila ustvarjena (še ena) distribucija operacijskega sistema Linux.
LINUX KOT OMREŽNI STRAŽNIK
IPCop je v bistvu navaden požarni zid. A podrobnejši pregled nam kaj hitro poda pravo stanje, kajti pri tej različici Linuxa ni prav nič navadnega. Lastnosti, ki ga ločijo od konkurence, so prosta koda, visoka stopnja nastavljivosti ter predvsem izredna prijaznost do uporabnika. Požarni zidovi navadno ščitijo omrežja pred zunanjimi napadi, služijo pa nam tudi kot vzvod za uveljavitev notranjih pravil. Priljubljeni stražniki omrežij nalogo zadovoljivo opravljajo, vendar je treba do potankosti poznati dejavnost, ki jo skušamo preprečiti. Nujno je poznavanje vrat, prek katerih aktivnost poteka, kako vpliva v omrežju, v kolikšni meri jo lahko blokiramo, preden to ne začne vplivati na druge, legitimne storitve, ki jih naše omrežje mora podpirati. Tu priskoči na pomoč »IP-policaj«. Ponuja nam vse zgoraj našteto in še več. Vse to zapakira v očesu prijazen, dojemljiv vmesnik. S številnimi vtičniki oziroma razširitvami nam na videz zahtevno opravilo spremeni v mačji kašelj, ki se ga brez težav lahko loti vsak računalniški navdušenec. Preprosti ukazi v ozadju uvedejo številna, preverjena pravila, ki delujejo kot švicarska urica.
A vse ni tako rožnato, kot se sprva zdi. Najprej je treba poznati težavo, ki nas tare. Sliši se banalno, a je včasih težko prepoznati vzrok slabe odzivnosti omrežja. Nadalje je treba IPCop z ustrezno razširitvijo tudi namestiti. Kakor je program za uporabo enostaven, toliko težja je njegova namestitev. To ni pravilo, a žal velja za pričujoči skupek kode. Rešitev te težave bo poslanstvo našega članka.
NAMESTITEV
Za začetek z uradne spletne strani ipcop.org prenesemo zadnjo različico požarnega zidu. Ker je vse skupaj združeno v Linuxovo distribucijo, najdemo pod datotekami za prenos le tiste s končnico ISO. S primernim programom za peko datoteko zapečemo na zapisljivo zgoščenko in kot rezultat dobimo zagonski medij, s katerega Linux namestimo v računalnik. Bodisi bo to nova strojna oprema bodisi le nov virtualni strežnik, ki bo v prihodnje opravljal vlogo usmerjevalnika, proxy posrednika, VPN-ponudnika in še marsikaj drugega. Čeprav ponudi nekaj pomembnih odločitev, sama namestitev ni problematična. Najprej izberemo jezik. Žal med ponudbo ni slovenščine, tako da se bomo morali zadovoljiti z alternativo. Sledita ustvarjanje razdelkov ter kopiranje sistema nanje. Samo kopiranje sistemskih datotek je svetlobno hitro, saj IPCop premore le nujno potrebne dele operacijskega sistema Linux. Za konec izberemo način varovanja nastavitev sistema ter izberemo razvrstitev tipk na tipkovnici. Naše strešice delujejo brezhibno! Ko se nam prikrade misel, da smo končali delo, pride na vrsto tisto najpomembnejše – nastavitev omrežnih kartic. Te sistem razvrsti v barve. Zelena je notranje omrežje, rdeča internet. Možno je definirati še dve dodatni območji, ki jih IPCop označi z modro in oranžno barvo. Sem lahko uvrstimo na primer brezžično povezavo, območje DMZ ali kaj drugega. Po vnovičnem zagonu nas v poljubnem brskalniku na naslovu https://ipštevilka:445 pričaka uporabniški vmesnik z osnovnimi zmožnostmi programa.
KAJ ZMORE?
V priročnem meniju, ki zmore govoriti tudi naš materni jezik, izbiramo med različnimi aktivnostmi. Določimo lahko dostop do strežnika, ponastavimo gesla, ustvarimo varnostne kopije sistema in ne nazadnje lahko strežnik na daljavo tudi ugasnemo. Na voljo so nam različna besedilna in grafična poročila o delovanju. Najpomembnejše pa so nastavitve povezav VPN, samega požarnega zidu ter posebne storitve, med katere v osnovi spadajo proxy, DHCP, dinamični DNS, časovni strežnik, omejevanje pasovne širine ter odkrivanje vsiljivcev (Snort).
Dobro, porečete, kaj je tu posebnega? Res so funkcije lepo in preprosto predstavljene, a pozna jih tudi vsak boljši usmerjevalnik. Glavna stvar so razširitve. Zdaj pridemo do našega osnovnega problema. Imamo podjetje, v katerem zaposleni pridno pretakajo prepovedane vsebine s programi P2P. Že v osnovi so takšne dejavnosti problematične zaradi zakonske odgovornosti, a v grobem pomenijo ogromno časovno izgubo in zmanjšanje storilnosti. Da ne omenjamo oženja spletne pipice, ki povzroča izpade pri poslovanju. Skrbnik sistema v takšnem podjetju bi najprej nastavil požarni zid, a kaj, ko so nepridipravi vedno korak spredaj. Kar niti ni čudno, kajti s programi P2P se ukvarjajo več kot skrbnik. Težavo povzročajo tudi povsem običajne storitve, ki pri prestrogem požarnem zidu prenehajo delovati (npr. elektronska pošta, spletno plačevanje …).
Z IPCopom se da marsikaj postoriti. Sprva lahko težavo omilimo na klasičen način, z nastavitvami posameznih pravil TCP/UDP. Česar požarni zid ne more oziroma ne sme zaustaviti, lahko upočasnimo z nastavitvami prioritet v omejevanju spletnega prometa (traffic shaping). Toda v tem primeru moramo poznati delovanje posameznih programov P2P. Da se temu izognemo, bomo osnovni nabor zmogljivosti IP-policista razširili.
RAZŠIRITEV
P2pblock je razširitev za distribucijo Linux IPCop. Omogoči nam preprosto blokado programov P2P z različnimi algoritmi za pregled paketov v našem omrežju. Tako kot druge razširitve, jo je preprosto prenesti z uradne spletne strani projekta (glejte pod Addons). Namestitev je žal čisto druga pesem. P2pblock zahteva za delovanje iptables, string-match, layer7-filter in ipp2p-filter. Vsega v osnovni distribuciji IPCopa ni. Ob takojšnji namestitvi razširitve p2pblock_ipcop_1.4.13.tar.gz nas zato pričaka napaka. Pravilen postopek je naslednji. Najprej je potrebno izvesti »downgrade« naše Linuxove distribucije, saj različica 1.4.21 vsebuje drugačno jedro od tiste, za katero je bil v osnovi pisan ter preveden filter p2pblock. Priskrbimo si ipcop-1.4.15-kernel.tar.bz2, ga razširimo z
tar xvfj ipcop-1.4.15-kernel.tar.bz2 –C /
in nadaljujemo z ukazom
touch /var/run/need-depmod-'uname –r'
ter znova zaženemo sistem. Po vnovični vzpostavitvi strežnika izvedemo te korake:
- Iz spleta prenesemo p2pblock_ipcop_1.4.13.tar.gz (lahko tudi starejšo različico).
- S programom WinSCP ali podobnim prekopiramo datoteko v strežnik IPCop.
- Prijavimo se v sistem (neposredno ali preko odjemalca SSH).
- Razširimo dodatek p2p s tar xvfz p2pblock_ipcop_1.4.13.tar.gz. Dobimo dve datoteki, namestitveno in files.tar.gz.
- Izvedemo ukaz tar –zxvf files.tar.gz –C /, ki nam razširi vsebino na osnovni (root) imenik. To bi naredila tudi namestitvena datoteka, a bi ji potem spodletelo pri preverjanju različice sistema.
- Uredimo datoteko /var/ipcop/p2pblock/setup s priljubljenim urejevalnikom besedil.
- Poiščemo #check md5-hash.
- Komentiramo celoten odsek (z znakom #), skupaj z ukazom #rm $SETUPDIR/test.
- Najdemo »if ['1.4.11' = $IPVERSION –o '1.4.13' = $IPVERSION –o '1.4.14' = $IPVERSION –o '1.4.15' = $IPVERSION –o = $IPVERSION]; then« in spremenimo v »if ['1.4.11' = $IPVERSION –o '1.4.13' = $IPVERSION –o '1.4.14' = $IPVERSION –o '1.4.21' = $IPVERSION –o = $IPVERSION]; then« oziroma tako, da preverba vsebuje številko vaše različice.
- Shranimo popravljeno datoteko in jo zaženemo z /var/ipcop/p2pblock/setup –i.
Nameščeno razširitev najdemo v uporabniškem vmesniku znotraj spletnega brskalnika pod izbiro Services. Uporaba je preprosta. Izmed naštetih programov P2P in protokolov, izberemo želene ter označimo, če želimo beleženje v dnevnik. Rezultat je zavidljiv.
PRIČAKOVANJA
Nove različice IPCopa že dolgo ni bilo na spregled. Vendar pogled od blizu razkrije, da so dela s sistemom še kako intenzivna. Zadnja različica nosi številko 1.9.6, a ne bo nikoli izdana, ker je politika razvijalcev drugačna, kot je to v navadi. Pravijo, da so vse različice po 1.4.20 zgolj varnostni popravki, in ne dodajanje novih funkcionalnosti. Vse je rezervirano za famozno številko dve. Pričakujemo lahko novo jedro sistema, nov uporabniški vmesnik, nov namestitveni program, vgrajene dodatne razširitve, programski RAID in še in še. Seznam prihajajočih bombončkov je prav zares impresiven, na nas je le, da začnemo IPCop uporabljati. Čim prej. Denarnica vam bo hvaležna, pa naj bo to lastna ali od podjetja, za katerega informatiko ste odgovorni vi.
Moj mikro, September 2009 | Boris Šavc
