En komplett säkerhetslösning för nätet ska ta hand om många funktioner. Den ska filtrera bort virus och skadlig Javaskriptkod från webbsidor och e-post samt blockera oönskat innehåll som spam och exempelvis sexsidor. Den ska också skydda publika servrar och interna nät med brandvägg, släppa in externa användare via virtuellt privat nät (vpn), larma vid intrångs­försök och mycket mer.

Köper företaget kommersiella produkter är det lätt att hundratusentals kronor spenderas innan skyddet börjar bli heltäckande. Billigare i licenskostnad – om än inte i arbetstid – blir det med fri öppen källkod.

Men blir det då lika bra som en köpt lösning?

Generellt ger inga lösningar ett fullgott skydd. Webbfiltrering är till exempel ökänd för sin uselhet, sidor blockeras i onödan medan oönskat material slinker igenom. Antiviruslösningar är heller inte perfekta, utan allt för mycket fulkod slipper igenom.

Samling med gratisprogram

Produkterna med öppen källkod ger ofta ett bra skydd, väl i klass med andra tillverkare. Problemet med öppen källkod är i stället att de olika nödvändiga delarna ligger i helt olika projekt och att administrationen ofta består i att redigera textdokument.

Comixwall är ett försök att integrera flera olika gratisprodukter till en komplett säkerhetsserver och ge dem ett gemensamt grafiskt webbgränssnitt (så kallad utm, som står för unified ­threat management). Numera fungerar det med de flesta processorer, medan tidigare versioner bara fungerade med AMD 64-bitarsprocessorer.

Det mesta ingår, såsom anti­virus och filtrering av såväl e-post som webb och chatt, inkräktarlarm med Snort, brandvägg, egen domain name system server (dns) och egen server för dynamic host configuration protocol (dhcp).

I dagsläget klarar Comixwall inte demilitariserad zon (dmz) för externt tillgängliga servrar, vpn samt automatiskt tilldelade ip-adresser (dhcp) på vanliga bredbandsabonnemang. Vi saknar också en aktiv skanning av säkerhetshål, i stil med Nessus, som dessvärre inte har öppen källkod längre.

Installationen är inte heller helt smärtfri. Här går vi igenom några viktiga steg i processen för att ge dig lite hjälp på traven.


Installation i textläge

För att hämta hem Comixwall krävs en bittorrentklient. Tanka ned installationsskivan som iso-fil från hemsidan med ditt ­bittorrentprogram. Koppla iso-filen till den virtuella maskinen, eller bränn en cd för fysisk installation.

Kraven för att installationen ska fundera är följande: Standard persondator eller virtuell maskin med två nätverkskort som klarar det underliggande operativet Open BSD 4.3, fast publik ip-adress, minst 512 ­megabyte internminne och en gigabyte hårddisk. Vi anser dock att en gigabyte minne och tre gigabyte hårddisk är rimligare.

Open BSD används för att det är avsevärt säkrare än exempelvis Linux. Vi avråder från att försöka installera på en maskin med något annat operativ, kör enbart Comixwall på maskinen.

Körs maskinen i Vmware ­Infrastructure tappar Comixwall kontakt med nätverken med jämna mellanrum vilket innebär att ingen trafik alls går fram. ­Felet beror antagligen på inkompatibilitet mellan vic-drivrutinen (virtual infastructure client) och Vmware och/eller någon märklig konfiguration i maskinen.

Lösningen är att slå på så kallat promiskuöst läge på de virtuella växlar som Comixwall är ansluten till, då fungerar det fint.

Installationen i textläge har tre steg. Först installeras Open BSD, sedan Comixwall-tilläggen och till körs ett konfigureringsskript. I vårt exempel har vi använt en Vmware virtuell maskin med tre gigabyte scsi-disk.

Välj I för install, acceptera standardterminalen VT220 och ange sv för svenskt tangentbord. Svara Y för att bekräfta installationen. Bestäm sedan vilken disk du vill använda, i vårt fall sd0 för första scsi-disken. Svara Y för att bekräfta.


Gör rätt diskindelning

Efter det följer partitioneringen av Open BSD-delen av disken. Dessvärre finns inget automatiskt skript, och det kan vara lite klurigt för dig som inte gjort något liknande tidigare. Open BSD-partitioner kallas disk labels och är inte samma sak som Dos-partitioner som de flesta är vana vid. Open BSD disk labels delar in en Dos-partition i flera underdelar.

Ingen kontroll görs av att partitionerna du skapar är tillräckligt stora. Gör du fel smäller det senare under installationen, eller långt senare vid uppgradering till nästa version. Då får hela installationen göras om från början.

Välj a för att i tur och ordning lägga till följande sex partitioner a-b, d-g (partition c refererar till hela disken och den ska du inte ange något för). Acceptera partitionsetiketten (a till g), standardoffset, genom att trycka Enter och skriv in önskad storlek i sektorer om en halv kilobyte (1 000 000 sektorer är alltså 500 megabyte). Ange också sökvägen för varje partition utom b, som är växlingsarea för det virtuella minnet (swap).
a 1000000 /
b 1000000 (ingen sökväg, swap)
d 1000000 /tmp
e 1000000 /usr
f 2000000 /var
g (acceptera förslagna restsektorer) /home

Gå ur diskeditorn med q, skriv done om det blivit rätt. Svara yes för att radera disken och installera Open BSD.

Diskindelning. Lägg till nödvändiga partitioner. Ange inget för c, eftersom den refererar till hela disken.

Konfigurera ip-adresser

Din nästa uppgift är att konfigurera ip-adresserna för de
två nätverkskorten, samt ange datornamn, i vårt fall Comixwall. Ange enbart statiska ip-adresser, den externa publika från internetoperatören och den interna privata för ditt eget nät, exempelvis 192.168.1.254, nätmask 255.255.255.0.

Open BSD har möjlighet att hämta informationen via dhcp, men använd inte det, då fungerar inte konfigurationsskripten senare. Ange lösenordet för administratören (root).

Säkert kort. Det är viktigt att du väljer vilket ethernetkort som är externt, osäkert (wan) och internt, säkert (lan).

Installera programpaket

Därefter är det dags att installera programpaket i Open BSD. Installationen har förvalt cd åt dig, så du kan helt enkelt bekräfta med Enter tills en lista av paket syns. Välj sedan all och avsluta valen med done.

Rubbet! Du väljer enkelt alla programpaket i Open BSD med kommandona all och done.


Ange om du vill komma åt kommandokonsolen med secure shell (ssh) och om tidssynkronisering ska ske mot server på internet. Installationen frågar om den grafiska miljön ska konfigureras (Xwindow), här är valet vanligtvis nej. Ange till sist tidzonen till Europe/Stockholm.

Efter det ska programpaketet Comixwall Open BSD installeras. Installationen har förvalt rätt katalog (packages) på cd:n åt dig. Smidigt. Då kan du även här bekräfta med Enter tills en lista av paket syns. Välj all och avsluta med done.

När installationen rullat på ett tag – det kan ta 10–30 minuter beroende på vilken dator du har – frågas efter fler programpaket. Vi har inga fler paket att installera och ger kommandot done.

Nu är programinstallationen klar, men du har en del grundläggande konfigurering kvar att göra i textläget.

Har du matat in rätt ip-adresser och namn tidigare är det bara att bekräfta dem. Sedan får du välja vilket som är det externa internetgränssnittet och vilket som är det interna lokala. Se till att det blir rätt, annars får du börja om från början!

Välj 1 för automatisk konfiguration av programpaketen.

Nu är Comixwall förhoppningvis i gång och du kan ansluta med webbläsaren till den lokala ip-adressen (192.168.1.254 i vårt exempel) för resten av konfigurationen. Har det blivit fel, och du inte kan komma åt webbgränssnittet, är det oftast enklast att starta om installationen och göra om allt igen.

Host. Efter installation av paket för Open BSD och Comixwall ska nätverksinformationen bekräftas.

Galet gränssnitt. Har du av misstag valt dhcp-tilldelad adress på något gränssnitt får du en lång rad felmeddelanden som de här. Börja i så fall om från början med statiska adresser.

Klart! Har du fått all konfiguration rätt är Comixwall till sist i gång. Nu kan du ansluta med webbläsaren i stället.

Enkel webbadministration

I webbgränssnittet görs de flesta inställningarna för respektive programpaket. Det mesta är lätt­administrerat och vyerna är bra. Problemet är att vissa sidor är väl långa och att det tar tid att ladda om efter en ändring.

Administrationsgränssnitt. Det här är första sidan du möts av när du ansluter med webbläsaren. Till vänster väljer du vilken komponent du vill arbeta med och flikarna innehåller konfigurering, översiktgrafer, detaljerade loggar med mera, allt beroende på vilken komponent det är.


Vi har inte plats att gå igenom alla komponenterna här, men webbfiltret är en del som de flesta behöver ändra inställningarna för. Standardinställningarna för webblockering är nämligen snarare intressanta än användbara. Filtret stoppar i princip allt, inklusive sajter som DN.se och ­Microsoft.com, utan att för den skull blockera exempelvis svenska sex- och dejtingsajter.

Fallerande filter. Webbfiltrets standardinställningar är lika usla som brukligt. DN.se och Microsoft.com blockeras i standardläget, men inte Spraydates sexsidor. Lägger vi till nyhetssidor (DN.se) som tillåtna platser blockeras fortfarande artikeln "Kaos i tunnelbanan" med hänvisning till att det är otillåten religion.


Har du behov av att detaljstyra användarnas webbåtkomst, finns bra möjligheter att bestämma vad som ska vara tillängligt och inte. Glöm inte att starta om webbproxyn efter ändringar i konfigurationen, annars aktiveras de inte.

Trots att vi vid vårt test tillåter nyhetssajter vägrar Comixwall att släppa igenom artikeln ”Kaos i t-banan” på DN.se, och klassar den som religion … Med andra ord lämnar filtreringen mycket övrigt att önska. Problem med filtrering är inget unikt för Comixwall, de flesta kommersiella produkter har också allvarliga brister i klassi­ficeringen och missar grovt.

Genom att slå på cachning i den inbyggda proxyn så att den mellanlagrar resultat blir surfningen snabbare på de tillåtna webbplatserna.


Snygga grafer och bra loggfunktioner. Comixwall presenterar nätaktiviteter och stoppad trafik överskådligt med grafer och med detaljerade loggar. Här syns blockering av annonser och kartläggning av läsarvanor på DN.se.

Kunskapskrävande. Kan du inte paketfiltrering sedan tidigare lär du få problem med att använda Comixwalls webbgränssnitt för att göra ändringar. Grundinställningarna är dock hyfsade, och för dig som behärskar paketfiltrering är det dessutom mycket mer överskådligt med en färgad tabell i webbläsaren i stället för en svartvit i konsolläge.


Antivirusfiltrering med Clamav ska plocka bort virus i webbsidor, e-post och chatt­sessioner. Filtreringen fungerar dock inte tillfälligt när data­basen med virussignaturer upp­dateras, vilket vi råkade ut för.

Under tiden vi testade ­

loggade Snort ett intrångsförsök

via e-post.”

Fungerande inkräktarlarm

En nämnvärd funktion är Snort, ett trevligt inkräktarlarm som funnits ganska länge. Den loggar trafik och ser vilka angrepp – av dem som finns i Snort-databasen – som utförs mot nätet. Under ­tiden vi testade loggade Snort ett intrångsförsök via e-post.

För att Comixwall ska se alla intrångsförsök som inte är riktade direkt mot den eller genom den, måste du spegla trafik till burken. Det finns även möjlighet att slå på automatiskt avbrott, intrusion prevention system (ips). Funktionen är på goda grunder avstängd i standardinstallationen, då fel kan göra att nätet blockeras för legitim trafik.

Användbart för entusiaster

Comixwall är ett väldigt ambitiöst projekt, som i vissa delar ­inte riktigt håller ända fram. Vi ser fram emot att fler utvecklare tar sig an det. Då kan det bli riktigt användbart, med vpn, hantering av dmz och dhcp.

Enklare installation hade förstås också varit trevligt. I dagsläget är Comixwall främst bara för oss teknikentusiaster.

Illustration: Jonas ­Englund

» Så går du vidare, länkar:


Fakta

• Brandvägg Open BSD paket­filter
• Dansguardian webbfilter ­(antivirus via Clamav)
• Snort inkräktarlarm ids
• Snort inkräktarstopp ips
• Antvirus Clamav med upp­dateringar Freshclam
• E-postfilter med Spam­assassin
• P3scan pop3 antivirus och antispam proxy
• Smtp-gated smtp antivirus och antispam proxy
• Dante socks proxy
• Squid http proxy
• Apache Web Server
• Open BSD ftp proxy
• Imspector: Im proxy och filter för MSN, IRC, Yahoo med flera
• Dns-server
• Dhcp-server