Linksys WRT54G og Firewall Builder

Linksys WRT54G © Linksys - klik for større billedeI januar skrev jeg et kort indlæg om min Linksys WRT54G router. Det blev kort, fordi jeg kunne henvise til Kurts weblog og hans gennemgang af routerens mange muligheder. Nu har jeg imidlertid selv rodet lidt med routeren og de muligheder man får, hvis man lægger en tredieparts firmware på den og som Kurt har jeg valgt den firmware, der hedder dd-wrt.

Projektet indeholder en web- og mailserver til min storesøster og en sikrere, WPA-baseret, WLAN-løsning til hendes hjemmenetværk. Imidlertid mangler WRT54G-routeren nogen ønskelige faciliteter fra fabrikken, såsom SNMP, ssh og ikke mindst en stateful firewall-funktion med gode konfigurationsmuligheder. Installation af dd-wrt løser alle problemerne og det er fantastisk let at gøre – man følger bare vejledningen.

Nu står man med en router, der i alle praktiske henseender er en mini-linux. Dermed kan man installere en kompliceret firewall-politik, baseret på Linux’ firewall-software, iptables. Opsætning af iptables er ret langhåret og fejl er ikke en acceptabel mulighed, når routeren står 300 kilometer væk.

fwbuilder GUI screenshot - klik for større billedeHer kommer næste produkt ind i billedet – fwbuilder. Firewall Builder er et GUI til konstruktion af firewall-regler til en samlet firewall-politik. Firewall Builder understøtter en lang række forskellige operativ systemer og firewall-produkter, blandt andet også Linux og iptables – endog med en template for netop WRT54G! GUI’en minder meget om Check Points SmartDashboard, som jeg allerede bekendt med fra mit arbejde, og den er faktisk rimelig intuitivt bygget op. I korte træk vælger man en source, en destination, en service (f. eks. web eller e-mail) og en handling – tillad, afvis eller drop. Firewall Builder kan ligefrem logge på Linksys-routeren og installere den definerede politik – så kan det ikke blive lettere.

En god sikkerhedspolitik tillader kun kendt trafik, både ind- og udgående. Ofte tillader små hjemmefirewalls al udgående trafik og det er noget skidt! Det betyder nemlig, at får man en trojansk hest indenfor firewall’en, så kan den kommunikere frit med sin skaber og sprede sig videre til andre computere.

En god løsning er at have en proxy-server og så kun tillade den at kommunikere med internettet. Kombineret med en lokal mailserver betyder det, at der ikke normalt vil være behov for, at computere på lokalnettet kan gå direkte på internettet. Undtagelsen er selvfølgelig VPN-forbindelser i forbindelse med hjemmearbejdspladser, men disse er normalt veldefinerede og dermed lette at tillade eksplicit.

Installationen af dd-wrt muliggør endvidere overvågning af routeren/firewallen, i en grad der ikke fandtes i den originale stand. Med snmp kan se interessante data på routeren, som f. eks. båndbreddeforbruget på internetforbindelsen og dermed vurdere, om man har brug for en større forbindelse.

Man kan også få logfilerne gemt på en ekstern server og dermed få mulighed for at auditere logfilerne. En meget almindelig fejl, begået af firewall-ansvarlige, er tillid til ens firewall – det dur ikke. Tillid er godt, men kontrol er bedre, som Vladimir Ilich Lenin så rigtigt sagde og det gælder i særdeleshed for firewall-logfiler.

Jeg er ikke helt færdig med projektet, men min foreløbige vurdering er, at kombinationen af Linksys WRT54G med dd-wrt-firmware og Firewall Builder, gør det muligt at producere en sikkerhedsløsning af professionel kvalitet, til en pris af omkring DKK 500,-.