Dieser Abschnitt beschreibt detailliert die ersten Konigurationsschritte einer neu aufgesetzen Honeywall. Fehler, Korrekturen, etc. können auf dem Bugzilla Server gemeldet werden.

Letzte Änderung: 26.5.2005

4. Erste Konfiguration

1. Übersicht
2. Die honeywall.conf Konfigurationsdatei
3. Dialogmenü
4. SSL und SSH Fingerprint
5. Konfiguration des Betriebssystems

4.1 Übersicht
Nachdem sie die Installation der Honeywall CD-ROM abgeschlossen haben und der Neustart erfolgt ist haben sie auf ihrer Festplatte ein voll funktionsfähiges Fedora Core 3 Betriebssystem plus der Funktion als Honeywall. Dieses Betriebssystem ist eine gehärtete Minimalinstallation. Es besteht aus 233 RPMs, inklusive der von uns entwickelten, die die Honeywallfunktionen bereitstellen. Nach dem ersten Start wir das System gehärtet indem das Skript /usr/local/bin/lockdown-hw.sh ausgeführt wird. Dieses Skript basiert auf Empfehlungen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST). Die Honeywall CD-ROM nutzt aber den Fedora Core 3 Kernel, in dem keine kernelbasierten Sicherheitsfeatures aktiviert sind. Sie sollten in Erwägung ziehen, nach der Installation einen eigenen Kernel mit Sicherheitsfunktionen wie grsecurity zu bauen.

Nach dem Neustart befinden sie sich an einem Kommandozeilenlogin. Wie sie wissen, handelt es sich um ein Minimalsystem, bei dem keine lokale Fensterunterstützung installiert ist (sie können diese nachinstallieren oder die Anpassung, siehe Kapitel 7, verwenden, wenn sie möchten. Die Grundinstallation enthält sie jedoch nicht). Von diesem Loginprompt aus beginnt die Erstkonfiguration der Honeywall. Der Sinn dieser Maßnahme ist es, alle Variablen zu setzen, die die Honeywall und das Betriebssystem für eine einwandfreie Funktion benötigen. Um dies zu bewerkstelligen gibt es zwei Wege:

1. Erzeugen sie von Hand eine honeywall.conf Konfigurationsdatei, die während der Installation (siehe Kapitel 3) eingelesen wird, oder kopieren sie eine existierende Datei nach Abschluß der Installation auf das System.
2. Verwenden des Menüs. Das Menü hat sich gegenüber der vorigen Honeywall Eeyore nicht verändert. Es wird genutzt, wenn sie an der Systemkonsole sind oder Zugriff über ein Remote-Terminal (wie z.B. SSH) haben. Sie können über dieses Menü eine neue honeywall.conf Datei erstellen oder die auf der CD-ROM enthalten bearbeiten.

Die Honeywall hat zwei Standardaccounts: roo (User ID 501) und root (User ID 0). Beide haben anfangs das gleiche Passwort honey, das Sie sofort ändern sollten. Ein Anmelden als root ist nicht möglich, so das sie sich als roo anmelden müssen um dann per su zu root zu werden. Die Honeywall unterstützt virtuelle Terminals auf der Konsole, auf die über die Tastenkombination ALT+F1 bis F9 zugegriffen werden kann. Wenn sie sich das allererste Mal als root an einem unkonfigurierten System anmelden, werden sie in das Menü geschickt und ein Hinweis das sie das System konfigurieren müssen wird angezeigt. Nachdem das System konfiguriert ist müssen sie das Menü als root entweder manuell starten oder die HwMANAGE_DIALOG Variable so setzen, das das Menü immer auf dem virtuellen Terminal 1 (ALT+F1) gestartet wird. Nachdem der Setupprozess durchgelaufen ist, müssen sie den Fingerabdruck ihres SSL-Zertifikates von Hand bestätigen. Abschließend gibt es noch weitere Optionen mit denen man das Betriebssystem konfigurieren kann.

4.2 Die honeywall.conf Konfigurationsdatei
Die Datei honeywall.conf ist eine ASCII-Textdatei, die alle Variablen und ihre Werte enthält, die das Betriebssystem und die Honeywall nutzen. Die Honeywall CD-ROM enthält eine Standardversion der honeywall.conf Datei. Wenn sie ihr System konfigurieren möchten, müssen sie ihre eigene /etc/ honeywall.conf verwenden. Es ist sehr wichtig zu verstehen, das die Honeywall-Skripte nicht die /etc/honeywall.conf verwenden um sich zur Laufzeit zu konfigurieren. Dies tun sie über Variablen, die als Dateien im hw/conf Konfigurationsverzeichnis abgelegt sind (es wird Benutzern davon abgeraten, diese Dateien direkt zu bearbeiten). Man kann eine Erstkonfiguration vornehmen, indem man alle Variablen aus einer bestehenden honeywall.conf auf eine neue Honeywall überträgt und daraus die Einträge für /hw/conf erzeugt. Klingt kompliziert, ist aber ganz einfach.

Man benutzt dazu den Befehl /usr/local/bin/hwctl auf der Kommandozeile der Honeywall, ohne das Menü aufzurufen. Kopieren sie ihre vorkonfigurierte honeywall.conf Datei (z.B. von Diskette oder einem USB-Gerät) nach /etc/honeywall.conf auf dem Laufwerk ihrer Honeywall. Danach geben sie folgenden Befehl ein

/usr/local/bin/hwctl -s -p /etc/honeywall.conf

4.3 Dialogmenü
Die zweite und normalerweise genutzte Methode eine neu installierte Honeywall zu konfigurieren ist die Verwendung des Menüs. Beachten sie, dass sie nicht die Weboberfläche zur Ersteinrichtung verwenden können, da die Honeywall keine Einstellungen für die Management IP, zugelassene Manager und keine Firewallregel, die externen Webzugriff zulässt, hat. Daraus folgt, dass sie die Weboberfläche nicht verwenden können. Wenn sie sich als root anmelden und ihr System noch nie konfiguriert wurde, wird automatisch das Menü für sie gestartet. Sie können es allerdings auch durch den Befehl menu starten. Achtung: nur root kann das Menü nutzen, da kein anderer Nutzer die nötigen Rechte hat.

Um das System dialoggesteuert zu konfigurieren starten sie das Menü. Ihnen werden sechs Punkte zur Auswahl angezeigt. die Honeywall wird unter "4: Honeywall Konfiguration" eingerichtet (oder neu eingerichtet, wenn sie das System komplett neu konfigurieren möchten). Dieser Menüpunkt ist modal, d.h. er verhält sich unterschiedlich, je nach dem ob noch eine Erstkonfiguration gemacht werden muss, oder ob das System bereits konfiguriert wurde. Im letzteren Falle bietet es die Umkonfigurierung einzelner Komponenten oder eine komplette Neukonfiguration an. Da wir im Moment die Installation beschreiben, beschränken wir uns auf den Modus "Erstkonfiguration".

Nachdem sie Punkt 4 gewählt haben, werden ihnen drei Möglichkeiten zur Erstkonfiguration angezeigt.

• Floppy: mit dieser Methode liest das System eine bereits existierende honeywall.conf Datei von einer Diskette ein und konfiguriert das System. Das ähnelt dem oben beschriebenen Vorgehen, ist aber vollständig automatisiert.
• Defaults: nutzt die Standard honeywall.conf Datei, die mitgeliefert wurde.
[Anmerkung: bei der ersten Installation wird eine Kopie namens /etc/honeywall.conf.orig von der ursprünglichen /etc/honeywall.conf angelegt. Diese Datei enthält die "Werkseinstellungen", auf die wir später noch kommen.]
• Interview: das Menü stellt eine Reihe von Fragen, um die die Informationen zu erhalten die es braucht. Anschließend konfiguriert sich das System ba- sierend auf diesen Informationen. Wir empfehlen diese Informationen rechtzeitig zur Hand zu haben. Lesen sie das Dokument Initial Setup Information (noch nicht übersetzt) um zu erfahren, was für Informationen abgefragt werden.

Nach der Erstkonfiguration werden ihnen unter dem Punkt 4 einzelne Optionen zur Konfiguration der größeren Kategorien angezeigt (z.B. bridge/NAT Modus und IP-Adressinformationen, Informationen zum Remote Management, Bandbreitenbeschränkungen etc.). Dieses Menü erlaubt ihnen die Anpassung der Honeywall an ihre Bedürfnisse. Änderungen werden aktiv nachdem sie auf die Konfigurationsvariablen angewandt wurden. Zusätzlich wird eine Sicherung der Datei /etc/honeywall.conf angelegt und mit einer Erweiterung versehen (.0, .1 bis .9). Das ermöglicht es ihnen, Fehler rückgängig zu machen oder zu früheren Konfigurationen zurückzukehren. [Anmerkung: diese Möglichkeit ist bis jetzt weder über das Menü noch über die Weboberfläche Walleye erreichbar. Sie können aber immer den Befehl hwctl –r –p verwenden, der in diesem Handbuch beschrieben wurde.]

Als letzten Punkt im Menü gibt es "13: Neukonfiguration". Dieser Punkt bietet ihnen die gleichen Möglichkeiten wie bei einer Neuinstallation: einlesen einer existierenden honeywall.conf, der /etc/honeywall.conf.orig Datei mit den Werkseinstellungen oder den Interviewmodus. [WARNUNG! Falls sie remote angemeldet sind, seien sie SEHR VORSICHTIG. Erstens wird der SSH-daemon neu gestartet und so ihre Verbindung unterbrochen. Zweitens KANN es sein, das sie keine Zugriffsmöglichkeiten von remote mehr haben, wenn sie einen Fehler in der IP-Konfiguration oder den Firewalleinstellungen gemacht haben oder wichtige Parameter wie die Manager IP- Adresse ändern. Das ist besonders dann kritisch, wenn sie ein System „headless " betreiben, da sie dann keine Möglichkeit mehr haben das System über die Konsole zu konfigurieren.]

4.4 SSL und SSH Fingerprint
Sofern sie nicht ein selbst angepasstes ISO-Image verwenden und/oder existierende SSH-Schlüssel von einer Diskette importiert haben, werden bei der Installation neue SSH-Schlüssel und ein SSL-Zertifikat erzeugt. Diese sind für eine verschlüsselte Kommunikation über SSH und SSL notwendig. Bevor sie sich remote mit der Honeywall verbinden wird es dringend empfohlen, sich auf die Überprüfung der Fingerabdrücke dieses Schlüssels bzw. dieses Zertifikats vorzubereiten (neue Schlüssel bei der ersten Verbindung einfach zu akzeptieren macht sie anfällig für einen "man-in-the-middle" Angriff). Das kann über die Kommandozeile geschehen

Für SSL: /usr/bin/openssl x509 -noout -fingerprint -text < /etc/walleye/server.crt
Für SSH: /usr/bin/ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key

Wenn sie ihr selbstsigniertes Zertifikat von Hand erstellen wollen, folgen sie für SSL den Anweisungen hier: Generating Your Own SSL Certificate (noch nicht übersetzt). Für SSH können sie den Befehl ssh-keygen verwenden.

4.5 Konfiguration des Betriebssystems
Nachdem die Honeywall konfiguriert wurde gibt es noch einige Anwendungen, die von der Kommandozeile aus konfiguriert und aktiviert werden müssen.

• Tripwire konfigurieren (noch nicht übersetzt)
• Internationales Tastaturlayout einrichten (noch nicht übersetzt)
• Lokale Zeit einstellen (noch nicht übersetzt)