Endian Firewall - достаточно неплохое бюджетное решение для малых и не очень малых компаний, которые-таки озаботились своей безопасностью и решили защититься чем-то большим, нежели простой рутер. Распространяется Endian Firewall по GPL и работает под Линуксом, соответственно, является бесплатным. Его скромные системные требования (64 МБ оперативной памяти, процессов с частотой 166 МГц и жесткий диск на 2 ГБ), а также удобный web-based интерфейс и высокая функциональность, делает его особенно привлекательным в «малобюджетном» секторе. Действительно, выгоднее поставить списанный комп в качестве рутера (правда потом можно поиметь проблемы с умирающими компонентами), чем покупать за 100-150 лат «коробочный» фаервол с половиной той функциональности.

Ну, довольно лирики и экономики, перейдем к установке Endian Firewall.
Дистрибьютив можно найти на http://www.efw.it/wiki/Download. Настоятельно советую скачать самую последнюю версию, чтобы потом не поиметь проблем с OpenVPN клиентами (скачиваются отдельно).

Установка достаточно простая - при инсталляции выбирается «зеленый» интерфейс, который смотрит в локальную сеть, выставляются IP адрес, маска и адрес шлюза для интерфейсов, пароль для пользователя root (имеет доступ к консоли фаервола) и для пользователя admin (используется для подключения через веб-интерфейс). Все остальное ставится по-умолчанию

После установки подключаемся с компьютера, который находится во внутренней (зеленой) сети по адресу http://firewall_IP_address соглашаемся с тем, что сертификат неизвестем и получаем такое:

В левой части расположено меню настройки сети, паролей, управление питанием и т.д. Для начала зайдем в Network Configuration и пройдемся через мастер настройки сети. Проверим, настроены ли все интерфейсы настроены так, как мы хотим. Если вы используете две сетевые карточки одной модели, то имеет смысл записать их MAC адреса, чтобы не путаться. Когда все закончите, жмите на OK.

После этого идем в закладку VPN

Первое, что мы видим - это настройки для подключения VPN клиентов. Если оно вам надо, отметьте галочкой OpenVPN Server enabled. Также можете указать диапазон IP адресов, который будет выдаваться удаленным клиентам, жмите на Save. Жмите на кнопку add account, чтобы добавить пользователя (RADIUS не поддерживается, так что придется добавлять записи ручками). После этого скачиваем сертификат - ссылка Download CA certificate. Этот сертификат нужно выдать удаленному пользователю.

Процесс создания пользователя не требует особенных умственных усилий - указывается логин, пароль, и место, откуда пользователь коннектится.

Это, все, что нужно настроить на сервере, для подключения VPN клиента. Настройка самого клиента, будет описана чуть позже.

Поднятие site-to-site тоннеля тоже не является особенно сложным процессом.
Для избежания всевозможных проблем с совместимостью, лучше использовать тот же Endian Firewall с другой стороны. Естественно, адреса соединяемых внутренних сетей должны отличатся, иначе не будет работать. В моем случае это 192.168.0.0\24 и 192.168.1.1\24. Внешние адреса 172.23.0.1\24 и 172.23.1.1\24

Итак, в закладке VPN первого фаервола выбираем IPSec

В Global Settings -> Local VPN hostname указываем имя (а лучше IP) фаервола и ставим галочку Enabled.

В Connection status and control у меня уже настроен тоннель CenterMangaliVPN его статус CLOSED. Как и в случае с созданием VPN пользователя, процесс тоже весьма прост и нагляден. Выбираем Net-to-Net и жмем на Add.

Вводим имя соединения, сторону (если один фаервол left, то, соответственно, противоположная сторона будет right), внешний адрес и адрес внутренней сети и маску удаленного фаервола, выбиваем тип аутентикации (для простоты выберем pre-shared key), жмем на Save.

Теперь повторяем ту же операцию на фаерволе, который будет стоять с другой стороны. С той разницей, что меняем имя соединения, сторону, с которой расположен фаервол и в поле для внешнего адреса, адреса внутренней сети и маски вводим данные первого фаервола (172.23.0.1, 192.168.0.0/255.255.255.0) ключ используем тот же.

Если все сделано верно, то мы увидим, что статус изменится с Closed на Open

Все!

Теперь вернемся к настройке удаленных клиентов.

Как я уже писал ранее, для подключения VPN клиентов используется OpenVPN. Скачать клиента можно по адресу http://openvpn.net/download.html там же довольно подробно можно прочесть о настройке клиента. Нас очень подробная настройка не интересует, поэтому приведу пример файла, конфигурации, который после инсталляции OpenVPN необходимо скопировать в директорию C:\Program Files\OpenVPN\Config
В эту же директорию скопируйте ключ, который вы скачали с сервера.

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap


# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
dev-node vpn

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers. 
# Это адрес фаервола, к которому мы будем коннектиться.
remote 172.23.0.1 1194


# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
#user nobody
#group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
# А это имя ключа, который скачан с сервера.
ca cacert.pem

# Use Username and Password Authentication
auth-user-pass

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

Вставьте это в ноутпад и сохраните с расширением ovpn в C:\Program Files\OpenVPN\config

После этого будет достаточно нажать на файл правой кнопкой мыши и выбрать Start OpenVPN on this config file.

В открышемся окне введите логин и пароль, который был создан для VPN клиента.

Вот и все.

Заключение

Как вы смогли убедиться, Endian Firewall - продукт с весьма неплохой функциональностью и несложной настройкой. Помимо поднятия тоннелей, он может работать как рутер, dhcp сервер, dns сервер, http, smtp, ftp proxy, IDS, отображать графики загрузки сетей, фильтровать траффик по MAC, IP адресам и куче других критериев (приятная новость для тех, кто хочет разделить сеть так, чтобы часть могла выходить в интернет, а часть бродила только по локалке), антивирус и многое многое другое. К несомненным плюсам можно причислить бесплатность и низкие системные требования (хорошая новость для тех, у кого начальство требует за минимум денег получить максимум результата). Также приятно, что продукт полностью интегрирован в операционную систему, поэтому у WIN администраторов (вроде меня) отпадает необходимость осваивать особенности инсталляции софта на другой операционной системе.

Самым серьезным минусом же этого продукта является практически полное отсутствие мануалов на англ. яз. доступна только итальянская версия (хотя на сайте написано, что скоро будет как анг, так и нем. версии). Если бы не простой и понятный интерфейс, настройка напоминала бы прогулку пьяного по дремучему лесу.

В процессе установки использовались следующие документы:
• http://www.efw.it/wiki/faq (судя по всему, единственная статья)
• http://openvpn.net/howto.html

Перейти к рубрике --> Защита и нападение