Gibraltar Firewall: Debianowa dystrybucja Linux do zabezpieczenia sieci

Gibraltar Firewall był dystrybucją Linuksa opartą na Debianie. Gibraltar był używany do zabezpieczania sieci lokalnych jako oprogramowanie typu firewall oraz urządzenie brzegowe. Ostatnia wersja to 3.0, opublikowana w dniu 2010-04-14.

Historia

Projekt został zapoczątkowany przez Dr. Rene Mayrhofera w 1999 roku. W styczniu 2003 roku rozwój projektu przejęła firma eSYS Information Systems. Gibraltar powstał jako połączenie wolnego oprogramowania systemowego i sieciowego z wygodnym, przeglądarkowym narzędziem administracyjnym, co umożliwiało konfigurację zabezpieczeń bez konieczności pracy w konsoli.

Cechy i składowe

Gibraltar był dystrybucją ukierunkowaną na funkcje zapory i bramy sieciowej. Typowe elementy i funkcje, jakie oferowały dystrybucje tego typu (i które występowały w Gibraltarze lub mogły być do niego dołączone), to:

• Jądro z obsługą netfilter/iptables — podstawowy mechanizm filtrowania i translacji adresów (NAT).
• Routing i NAT — obsługa przekazywania pakietów między interfejsami, reguły NAT, przekierowania portów.
• Usługi sieciowe — serwer DHCP, podstawowa obsługa DNS (cache/forward), możliwość konfiguracji sieci lokalnej.
• Wsparcie dla VPN — możliwość użycia rozwiązań VPN (w zależności od zainstalowanych pakietów i konfiguracji) do tworzenia tuneli szyfrowanych między lokalizacjami.
• Proxy i cache — opcjonalne komponenty do buforowania ruchu HTTP i filtrowania treści (przy pomocy dodatkowych pakietów).
• Monitorowanie i logowanie — zapisy zdarzeń, statystyki ruchu oraz integracja z narzędziami do analizy logów.
• Interfejs webowy — graficzny panel administracyjny dostępny przez przeglądarkę, pozwalający na konfigurację polityk bezpieczeństwa i usług.
• Tryby uruchamiania — możliwość pracy jako live-CD (bez potrzeby instalacji na twardym dysku) oraz tryby instalacji na pamięci flash lub dysku w urządzeniach embedded.

Instalacja i administracja

Gibraltar mógł być uruchamiany bez instalacji na dysku twardym — z płyty CD-ROM lub (w wersjach sprzętowych) z pamięci kompaktowej/flash. Dane konfiguracyjne można było przechowywać na zewnętrznych nośnikach, takich jak dyskietki lub pamięci USB, co ułatwiało przenoszenie ustawień oraz przywracanie konfiguracji.

Typowy przebieg uruchomienia i konfiguracji obejmował rozruch systemu (live), po czym administrator łączył się z panelem webowym, by ustawić interfejsy sieciowe, reguły firewalla, usługi DHCP/DNS oraz ewentualne tunele VPN. Dzięki interfejsowi webowemu podstawowa administracja była możliwa bez dogłębnej znajomości linii poleceń.

Zastosowania

Ze względu na niskie wymagania sprzętowe i możliwość pracy z nośników wymiennych, Gibraltar był wykorzystywany jako:

• brama/firewall dla małych i średnich sieci biurowych,
• router brzegowy w lokalizacjach z ograniczonym budżetem,
• urządzenie zabezpieczające w środowiskach testowych i edukacyjnych,
• podstawa dla gotowych rozwiązań sprzętowych (appliance) uruchamianych z pamięci kompaktowej.

Stan projektu i alternatywy

Ostatnia wydana wersja Gibraltar Firewall to 3.0 z kwietnia 2010 r. Od tego czasu projekt nie był aktywnie rozwijany, co oznacza potencjalne ryzyko braku aktualizacji bezpieczeństwa. Z tego powodu warto rozważyć nowocześniejsze i nadal utrzymywane alternatywy, jeśli planujesz używać wrażliwych środowisk produkcyjnych. Przykłady utrzymywanych dystrybucji/appliance firewall to m.in. pfSense, OPNsense, IPFire czy Smoothwall.

Jeśli zamierzasz nadal korzystać z Gibraltara w środowisku testowym lub archiwalnym, zachowaj ostrożność: ogranicz dostęp z Internetu, stosuj dodatkowe warstwy zabezpieczeń i rozważ odseparowanie tej maszyny od krytycznych zasobów sieciowych.

Gdzie szukać dodatkowych informacji

Informacje historyczne i archiwalne można znaleźć w dokumentacji projektu, na forach społeczności oraz w zasobach archiwizujących obrazy ISO i dokumentację starych dystrybucji. Ze względu na brak aktywnego rozwoju warto korzystać z archiwów i materiałów pochodzących od społeczności użytkowników.