Smoothwall 1.0 VS 2.4 Beta

PS i følge PC World, så er V 1.0 på dansk i webinterfacet. Er 2.4 beta også det ?

Har ikke testet betaen men har testet en del på 1.0 Ville nå ha valgt betaen, tror jeg, i hvert fall hvis det dreier seg om hjemmeutstyr. V 1.0 bygger på en 2.2.x kernel som egentlig forsvant ut for en del tid siden. Hos Linux så er jo firewall egentlig også en del av kernel. Setter betaen til lasting nå ..
Det er klart at Smoothwall med en ny 2,4.x kernel vil være et godt produkt.
V 1.0 er i hvertfall meget enkel å konfigurere via web interface.

Det drejer sig ikke kun om hjemme udstyr. På GreenNIC skal jeg have vores "almindelige" PC'er, som jeg egentligt ikke ser som værende særligt spændende at hacke. Der skal dog være sikkerhed for, at der kommer nogen og sletter de opskrifter der har taget lang tid at skrive.... :-)

Der skal desuden være en webserver, som skal være stabil og helst ikke kunne brydes ind i, da jeg skal have mit arbejde liggende på den.

Jeg ville nok principielt vælge 1.0 og ikke en bata. 1.0 er en "færdig" udgave hvor der er mere styr på fejl og huller end i en beta. En beta kan give slemme overraskelser og uhensigtsmæssigheder du ikke harregnet med og derfor heller ikke planlagt for.

Når du nu har installeret din smoothwall, så kik på Snort (http://www.snort.org/). Det er et Intrusion Detection System der sammen med din firewall giver bedre sikkerhed, Snort skulle være gratis

Er det snakk om en ADSL forbindelse ? Hvor mange brukere ? Hvis det er snakk om en adsl forbindelse så lages jo den ofte via et modem som også ofte inneholder en hardware firewall dersom man aktiviserer den. ADSL modem/roter firewal event i kombinasjon med Smoothwall bør bli bra.

Smoothwall V 1.0 bygger jo ellers på en firewall som er lik den som fantes hos Red Hat 6.2 Ved Red Hat 7.0 så kom det jo en helt ny generasjon Linux firewall og nåværende versjon er Red Hat 9.0 slik at en firewall som er bygget over tilsvarende firewall som Red Hat 6.2 vel må sies å være temmelig gammel ??!!
(Men den kan jo fungere for det.)

Vanligvis eller ofte i hvert fall så pleier det ikke å fungere å installere generell Linux software på spesialiserte distribusjoner av Linux.

Smoothwall har vel selv ingen Webserver slik at man må sette opp dette på en egen maskin. For andre Linux distribusjoner så går det rent teknisk an å kombinere en gateway og en webserver funksjon (Hvis man finner dette tilrådelig rent sikkerhetsmessig.)

Vil forsøke å få tid til å teste litt på 2.0 betaen i løpet av dagen.
Misstenker vel at Smootwall beta 4 i realiteten er det som hos andre leverandører ville være en produksjonsversjon. Smoothwall er ellers også en vesentlig mindre Linux distribusjon enn de fleste andre slik at dette i seg selv vil begrense antall feilkilder.

Har installert 2.0 beta og holder på med testingen.

Det ser ikke ut til å finnes noen Dansk webinterface, bare engelsek (men det er ganske enkelt. Installasjonen gikk også greit.

Når man skal logge seg på web interfase så går det lettest med å bruke ip adresse, slik: http://10.0.0.5:81 Bruker: "admin" Passord: <rootpassord>

Smoothwall inneholder ellers snort som en av standardkomponentene slik at denne ikke skal installeres. Den er der som default. Konfigurering av snort inngår også i Smoothwall webinterface.

Det skal køre på en TDC Pro@ccess med en Efficient router, som jeg ikke har adgang til at konfigurere. Jeg havde sådan set tænkt mig at smide den af H... til, når jeg har fået Smoothwallen op at køre.

Jeg sætter webserveren op på en maskine, som jeg endnu ikke har købt. Det bliver noget med Win2k med MySQL osv.
Der er ikke andre der skal have adgang f.eks. via FTP, men der skal nok ligge andre end mine egne webs.

Bufferzone>> Din antagelse er også den jeg har, men som Langbein skriver, så er det jo noget der er bygget på Linux, som jo er ret stabilt.
Mit syn på tingene er, at MS sådan set aldrig har lavet andet end betaer, hvorimod Linux er et færdigt produkt der udvikles på og hvor betaer kan sammenlignes med MS's "færdige" versioner.

I tråden http://www.eksperten.dk/spm/357688 som I begge deltager i, skriver Langbein at den nye Linux kerne er meget forbedret. Med det i mente, sammen med det, at hackere hele tiden bliver bedre, så kunne man jo antage, at man som sysadm. også burde være på forkant og derfor bruge betaer, og hele tiden opdatere disse.

Jo, den store forskjellen er at i den gamle linux kernel så paserer all trafikk gjennom selve "kernel prosess området", dvs at man kan ikke filtrere den trafikken som går inn til de lokale prosessene på selve firewall maskinen separat for seg selv slik at det som skal pasere inn til lan det vil også pasere inn til kernel (i prinsipp).

I den nye kernel, dvs fra kernel 2.4.x så har man laget to separate filteringssystemer slik at man filtrerer trafikken inn til lokale prosesser og inn til Lan hver for seg gjennom separate sett med filterregler. Dette vil blandt annet si i praksis at man kan stenge de lokale prosessene på firewall maskinen for all trafikk utenfra slik at man for eksempel bare kan endre konfigureringen av firewall fra console. (Men Smoothwall bruker jo uansett web interface.)

Har i hvert fall oppdaget en svakhet med 2.0 beta, tror jeg:
http://www.smoothwall.org/docs/
Ingen dokumentasjon så vidt jeg kan se, bare for 1.0 (!!??)
(2.0 har ellers en rimelig ok help funksjon.)

"Det skal køre på en TDC Pro@ccess med en Efficient router" er det denne:
http://proaccess.jth.net/ ??

Jep, det er en 5781

Hvad er det for en svaghed ? og findes den i V 1.0 ?

(Hvad betyder "slik" ? Er det ligesom det engelske hence ? )

"slik" betyder vist "ligesom"

Jo er vel 99,999 sikker på at Smothwall 1.0 har en 2.2.x kernel, dvs generasjonen før "netfilter" ( http://www.netfilter.org )

For 2.2.x kernel så benyttet man ipchains i stedet for iptables for konfigureringen. 2.2.x kernel støtter bare static inspection. 2.4.x kernel støtter statefull inspection.

Har akkurat verifisert og sjekket at Smoothwall 2.0 kjører med iptables og at den også kjeører med statefull inspection. Dette kan man kontrollere i all enkelhet ved kommandoen "iptables -L" (ipchains -L for Smoothwall 1.0)

"slik" .. he, he .. "slik at man for eksempel bare kan endre.." = "på den måte at man for eksempel kan endre.." 

(Hvis man lager firewall på basis av Red Hat ellr en annen genrell Linux basert på 2.4.x kernel så kan man lage en firewall slik at det ikke finnes noen annen påloggingsmulighet enn fra console. Samtidig så kan trafikken til DMZ/LAN passere fritt gjennom pga to separate filtreringssystemer i linux kernel.)

Vil forsøke å få tid til en testing av Smoothwall 1.0 også i løpet av dagen slik at 1.0 og 2.0 kan vurderes litt opp mot hverandre. Glemmer ellers litt og går litt surr i detaljer.

http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-6.html

OK, nu har jeg læst en del flere indlæg om firewalls generelt og I to er med alle steder :-) Jeg har også læst de to manualer til SmoothWall, men jeg kan ikke finde noget om NAT og stateful inspection, som Bufferzone beskriver i et andet indlæg, som det vigtiske for en firewall.
Hvordan ligger landet for de to versioner med de to ting ?
det må vel afgøre sagen.

Kommer med noen små testresultater litt senere.

Kernel 2.2.x støtter ikke stateful inspection. Det finnes så vidt meg bekjent ingen måte å få opp statefull inspection på en 2.2.x distribusjon.

Kernel 2.2.x støtter i utgangspunktet heller ikke nat, men dette kan fikses via tillegsmoduler også for 2.2.x, men ikke så bra som for 2.4.x hvor nat er supportet direkte fra kernel.

Smoothwall 2.0 Beta 4 støtter med 100 % sikkerhet statefull inspection fordi dette inngår i den kernel som er i bruk og fordi den er konfigurert for at statefull inspection skal kjøre (den kan også konfigureres til ikke å kjøre). Den støtter også med 100 % sikkerhet NAT. (Det gjør Smoothwall 1.0 jo også selv om det ikke dreier seg om den "native" NAT funksjon som finnes i 2.4.x kernel.)

Det var som sagt meningen å kjøre en test på versjon 1.0 også for å dobbeltkotrollere at det virkelig fortsatt er den gamle 2.2.x kernel som er i bruk.

Begge versjonene av Smoothwall er imidlertid firewalls med proxy hvis man ønsker å benytte seg av dette. (Det skal jo også være viktig ?)

Jeg giver lige point, da jeg har bestemt mig for at bruge 2.0 beta 4
Jeg skal ikke have noget kommercielt op at køre lige med det samme, så jeg tør godt løbe an på en beta version, og så håber jeg på, at den endelige udgave bliver færdig inden jeg skal "rigtigt" i gang. Så er jeg sikkert også blevet bedre til at håndtere firewalls generelt.

I det hele taget har de sidste par dage været meget lærerige, både her og i de andre indlæg hvor I deltager om emnet.

Jeg takker for Jeres meninger og glæder mig til Langbeins testresultater.

jo, det blir nå egentlig bare en overfladisk test fordi det tar for lang tid å sette den opp i et nettverk og teste den på riktig måte.

Har så langt kjørt 2.0 beta med 2 og 3 nettverkskort.

Ser ut til å kjøre helt fint.

Stort sett så stemmer vel manualen for 1.0 også til 2.0 etter som man vel har laget det noenlunde samme grensesnittet med og uten isbjørner.

Kernelversjon for Smoothtwall 2.0 beta 4 er 2.4.20 og den kjøere med statefull inspection og også med firewall proxy hvis man ønsker det. Begge deler testet uten problemer.

Da jeg satte i kort no 3 så oppsto det problem at det ikke skjedde noen automatisk detection av dette. Forsøkte bare tilfeldig en kommando fra console: "setup" og det fungerte. Det kom så opp en konfigurasjonsmeny for nettverkskort og andre ting.

Ut i fra denne lille testen så ble det ikke funnet noen feil ved smoothwallen selv men var ute for at den web baserte konfigurasjonsmenyen ble hengende noen ganger. DEt viste seg imidlertid at det bare war explorer på klienten som hang og ikke smootwallen selv.

Har laget en tilsvarende test for V 1.0

Det viser seg at bruker interfasen for V 1.0 og V 2.0 er nesten identisk selv om teknologien under er en del forskjellig.

Smoothwall 1.0 kjører kernel 2.2.23 og ipchains i stedet for iptables hvilket skulle tilsi at den ikke støtter statefull inspection.

Proxy funksjon ser imidlertid ut til å være lik som for V 2.0

V 1.0 framstår kanskje som "mere ferdig" ved at menyer og slikt kjører hurtigere og mere "smooth".

V 1.0 og V 2.0 har en så lik brukerinterface at det ser ut til å gå fint å bruke den samme usermanualen for dem begge to. Små forkjeller men like hovedprinsipper mht bruk og konfigurering.

V 2.0 og V 1.0 er såpas like rent bruks og konfigurasjonmessig at man sikkert kan ha liggende en V 1.0 installasjons CD som reserve når man kjører i gang V 2.0 beta, i tilfelle problemer.

Både V 1.0 og V 2.0 lot seg installere problemfritt med 3 stk realtek nettverkskort.

Med to såpas like installasjoner der den ene bygger på en helt ny kernel og den annen på tilsvarende kernel som for eksempel Red Hat 6.2, så synes det mest rimelige valget å være Versjon 2.0 Beta 4.

Meget fint stykke arbejde!!!


Mange tak

TRUMF

Takker for hyggelig tilbakemelding. Har hatt fri fra jobb noen dager og da er det alltid interessant å bruke tiden til å forsøke å finne ut av ting.