Dieser Abschnitt beschreibt Administration und Wartung der Honeywall, nachdem sie konfiguriert und aufgesetzt wurde. Fehler, Korrekturen, etc. können auf dem Bugzilla Server gemeldet werden.

Letzte Änderung: 26.5.2005

5 Wartung

1. Überblick
2. Das Tool hwctl
3. Das Menü
4. Die Weboberfläche
5. Updates

5.1 Überblick
Ihre Honeywall ist installiert, konfiguriert und in Betrieb genommen. Und nun? Wie warten sie das System, halten es auf dem neuesten Stand, wie ändern sie die Konfiguration? Wir werden drei Möglichkeiten vorstellen diese Fragen zu beantworten: hwctl, das Menü und die Weboberfläche. Abschließen werden wir mit dem Thema Updates, wie man die Aktualisierung des Betriebssystems und der Honeywall automatisieren kann.

Bevor wir in das Thema einsteigen, müssen sie verstanden haben, wie das System die Informationen speichert und nutzt, die sie ihm geben. Alle Werte die sie dem System mitteilen (IP-Adresse, Emailadressen etc.), werden als Variablen in einem speziellen Konfigurationsverzeichnis /hw/conf abgelegt. Jeder Wert hat seinen eigenen Dateinamen, ähnlich wie im /proc Dateisystem auf vielen UNIX-Systemen. Die Datei /hw/conf/HwTCPRATE zum Beispiel enthält das Limit dafür, wie viele ausgehende TCP-Verbindungen gleichzeitig erlaubt sind. Gegenwärtig sind über 50 Dateien (Variablen) in diesem Verzeichnis abgelegt. Die Systemskripte und die Honeywall nutzen sie, um ihr Verhalten festzulegen. Wann immer sie eines der untengenannten Tools nutzen, um ihr System zu konfigurieren oder modifizieren, ändern sie die Werte, die in diesen Variablen gespeichert sind.

Der Versuch, diese Variablen zu archivieren oder auf ein anderes System zu transportieren kann ganz schön mühsam sein. Also haben wir zusätzlich die Datei /etc/honeywall.conf eingeführt. Es handelt sich hierbei um eine einfache ASCII-Textdatei, die alle Variablen aus /hw/conf ausliest und in einer einzigen Datei speichert. Diese Datei wird vom System NICHT verwendet. Es ist nur eine bequeme Art, die Systemkonfiguration zu sichern (z.B. auf Diskette) oder sie auf ein anderes System zu übertragen (z.B. per scp). Die untengenannten Tools aktualisieren NICHT die /etc/honeywall.conf. Wenn sie ihre aktuelle Konfiguration in die /etc/honeywall.conf übertragen wollen, müssen sie das von Hand machen. Alle drei Tools bieten die Möglichkeit, dies zu tun. Mehr Informationen darüber, wie Variablen gespeichert und verwendet werden, finden sich in Kapitel 8.

5.2 Das Tool hwctl
/usr/local/bin/hwctl (die Abkürzung steht für "HoneywallControl") erlaubt es ihnen, Werte von Honeywall Variablen zu ändern, die Datei /etc/honeywall.conf zu sichern und zu aktualisieren und die Dienste neu zu starten, die von Änderungen an Variablen betroffen sind. Es ist das bevorzugte Tool um mit der Honeywall von der Kommandozeile aus zu kommunizieren und stellt die Schnittstelle für Remotemanagement und –konfiguration zur Verfügung. fortgeschrittene Anwender möchten wahrscheinlich mehr über die Kommandozeilenschnittstelle und die Methodik der API-Programmierung erfahren, um die Honeywall anpassen und verbessern zu können. Wenn sie wissen, welche Variable sie ändern möchten, besteht keine Notwendigkeit, sich die Mühe von Extraeingaben (Tastatur oder Maus) zu machen um sich durch Menüeinträge zu hangeln, nur um eine Variable zu ändern und die Änderung wirksam zu machen. Hier kommt hwctl ins Spiel. Sie können mehr über das Tool erfahren indem sie hwctl –h eingeben oder Kapitel 8 lesen. Es folgen nun einige Beispiele. Es gibt eine Variable HwTCPRATE (gespeichert in der Datei /hw/conf/HwTCPRATE), die festlegt, wie viele TCP-Verbindungen nach außen erlaubt sind, bevor das System weitere unterbindet. Sie können sich den Wert der Variable mit hwctl wie folgt anzeigen lassen

# hwctl HwTCPRATE
HwTCPRATE = 20

Sie können mit dem folgenden Befehl den Wert von HwTCPRATE auf 30 ändern

# hwctl HwTCPRATE=30

Sie können den Wert der Variable ändern und die Änderungen sofort wirksam werden lassen, indem sie die Option –r verwenden.

hwctl -r HwTCPRATE=30

Sie können sich alle aktuell verwendeten Variablen anzeigen lassen, indem sie den Parameter –A verwenden:

# hwctl -A
HwUDPRATE=20
HwTCPRATE=20
HwFWBLACK=/etc/blacklist.txt
HwMANAGE_NETMASK=255.255.255.0
HwWALLEYE=yes
HwSEBEK=yes
HwSEBEK_LOG=yes
HwLAN_BCAST_ADDRESS=10.0.0.255
. . .

[Anmerkung: beachten sie, das der Parameter –A keine Leerzeichen vor und nach dem Gleichheitszeichen einfügt, da dies dem Format der /etc/honeywall.conf entspricht. Wenn sie die Ausgabe weiterverarbeiten möchten (etwa mit awk) können sie den Parameter –a verwenden damit die Ausgabe aussieht wie in dem vorigen Beispiel, wo keine Parameter verwendet wurden.]

5.3 Das Menü
Das Menü ist die klassische Art die Honeywall CD-ROM zu administrieren. Es wurde ursprünglich in der Eeyore Version verwendet. Die neue Version ist sehr ähnlich, es sind aber Funktionen hinzugekommen (und es ist blau statt rot). Obwohl das Menü den Vorteil hat, lokal auf dem System zu arbeiten, hat es den Nachteil, nicht besonders benutzerfreundlich zu sein.

Um es zu starten geben sie den Befehl menu ein (der Pfad ist in der PATH Variable eingetragen, aber wenn sie es unbedingt wissen wollen: der Pfad ist /usr/sbin/menu). Sie können mehrere Instanzen des Menüs gleichzeitig betreiben, es wird aber nicht empfohlen, sich mit mehr als einem in Punkt "Honeywall Konfiguration" aufzuhalten. Grund dafür ist die fehlende Sperre ("locking") von Variablen und die Tatsache, das einige Skripte nicht synchron zu den Änderungen sein können, die in einer anderen Instanz von Menü gemacht wurden (oder, bei der Gelegenheit, der Walleye-Administrationsoberfläche).

Das Menü ist ziemlich selbsterklärend. Wenn sie eine Option auswählen, erscheint in der linken unteren Ecke eine Beschreibung. Um herauszufinden, wozu die Optionen dienen, lesen sie das Dialog Menu Dokument. Um zu lernen, wie das Menü arbeitet und welche Befehle es ausführt, lesen sie in Kapitel 8 nach. Das wichtigste, was sie sich merken sollten ist, das die vorgenommenen Änderungen solange NICHT wirksam werden, bis sie den Punkt "Vorheriges Menü" wählen. Der Grund dafür ist, das das Menü alle Änderungen sammelt, die in einem Submenü gemacht werden und sie erst umsetzt, wenn der Punkt "Vorheriges Menü" gewählt wird. Jede Änderung sofort umzusetzen wäre wahrscheinlich schnell frustrierend mit den ganzen Diensten die jedesmal gestoppt und neu gestartet werden.

5.4 Die Weboberfläche
Die Weboberfläche ist eine neue und verbesserte (wenigstens hoffen wird das :-) Oberfläche zur Verwaltung der Honeywall. Sie erlaubt es ihnen per "point and click" die täglich anfallenden Administrationsaufgaben remote zu erledigen. Das System wurde so entworfen, das es die primäre Methode für die Fernverwaltung sein soll. Die Weboberfläche hat alle Funktionen des Menüs und noch mehr. So kann sie nicht nur zur Administration verwendet werden sondern auch zur vollständigen Datenanalyse. Darum haben wir ihr den sexy Namen Walleye gegeben (steht entweder für "Eye on the Honeywall" oder ist eine Verbeugung vor dem verstorbenen Douglas Adams: Machts gut und danke für den Fisch. Anm. des Übersetzers: Grüßen Sie Slartibartfaß von mir. Seine Fjorde sind toll...). Im Folgenden wird der Begriff Walleye sich jedes Mal auf die Weboberfläche beziehen, mit deren Hilfe Administration, Konfiguration und Datenanalyse durchgeführt werden können. Diese ist standardmäßig nicht aktiv, es sei denn, sie haben die Möglichkeit zur automatischen Konfiguration genutzt. Die meisten Anwender werden sie aber über das Menü aktivieren müssen.

Um Walleye zu aktivieren starten sie das Menü, wählen sie "4: Honeywall Konfiguration", dann "3: Remote Management" und dann "11: Walleye". Von dort aus können sie die Walleye Funktionen einschalten, inklusive Argus und der Webserver, der auf Port 443 (HTTPS mit SSL) lauscht. Bevor sie sich zum ersten Mal mit der Walleye Oberfläche verbinden können, müssen sie den Fingerabdruck des Zertifikates bestätigen (siehe Kapitel 4.4). Damit stellen sie sicher, dass sie sich mit dem korrekten System verbinden.

Stellen sie sicher, das während der Ersteinrichtung am Managementinterface eingehende Verbindungen auf Port 443 von der Management IP-Adresse erlaubt sind. Wenn die Walleye erst mal läuft, können sie sich mit ihr über ihren Browser verbinden (wir testen und supporten derzeitig Firefox und IE [Anmerkung des Übers.: es funktioniert auch mit Opera 8 sowie Netscape 7]). Stellen sie auch sicher, das Cookies akzeptiert werden und JavaScript aktiviert ist. Und ja: wir würden auf die beiden auch gerne verzichten, aber wir denken uns, das sie, wenn sie ihrem Webserver nicht vertrauen, die Honeywall CD-ROM sowieso besser nicht benutzen sollten. Erstellen sie aber trotzdem ein Profil für Walleye, nur zur Sicherheit ;) Die URL für die Walleye sollte in etwa so aussehen

https://ip-adresse-der-honeywall/walleye.pl

Sie bekommen eine Loginaufforderung angezeigt. Wie beim Betriebssystem ist auch hier das Standardbenutzerkonto roo und hat das Standardpaßwort honey. Bei ihrer ersten Anmeldung werden sie aufgefordert das Passwort zu ändern. Beachten sie, dass die Honeywall einen Mechanismus hat, der die Passwörter auf Komplexität prüft (ziemlich strikt). Überlegen sie sich vor dem ersten Anmelden ein Passwort, das die folgenden Voraussetzungen erfüllt:

• 8 oder mehr Zeichen
• Ein Zeichen muß ein Großbuchstabe sein
• Ein Zeichen muß eine Zahl sein
• Ein Zeichen muß ein Symbol sein

Nachdem sie das Passwort geändert haben, hat das System eine Anmeldesperre, d.h. nach drei fehlgeschlagenen Anmeldeversuchen wir der Benutzer für 15 Minuten gesperrt. Danach kann der Benutzer wieder versuchen sich anzumelden.

Nachdem sie erfolgreich angemeldet wurden können sie mit der Administration des Systems beginnen. Als erstes sollten sie "System Admin" auf der Oberfläche auswählen. Dieser Punkt bringt sie zu einem Fenster, das dem Menü sehr ähnlich ist, aber webbasiert arbeitet. Es gibt einige Unterschiede zwischen dem Menü und Walleye. Zunächst kann Walleye nicht die Erstkonfiguration vornehmen, es kann sie nicht durch das Interview führen und auch nicht das System neu konfigurieren. Um das zu tun, brauchen sie das Menü. Der zweite Unterschied ist das Vorhandensein des Punktes "Benutzerverwaltung"". Dieser erlaubt ihnen das Hinzufügen, Ändern oder Löschen von Benutzern, die Zugriff auf Walleye haben sollen. Benutzer können drei Rollen annehmen:

• Benutzer: hat nur Lesezugriff auf den Teil zur Datenanalyse.
• Nur-Lese-Admin: hat Lesezugriff auf die Datenanalyse und Statusdaten.
• Admin: hat überall Lese- und Schreibzugriff.

5.5 Updates
Anders als bei der Vorversion Eeyore ist bei der neuen Version Roo nur noch einmal nötig, eine CD-ROM zu brennen und zu installieren. Danach wird das gesamte Betriebssystem und alle Funktionen auf der Festplatte installiert. Um das System danach aktuell zu halten verwenden sie das Tool yum (obwohl in den ersten Monaten nach der Veröffentlichung eine Neuinstallation wegen unliebsamer Überraschungen nötig sein könnte). Das Tool kann genutzt werden, um eine Installationsquelle remote nach aktualisierten RPMs abzufragen und, sofern vorhanden, diese herunterzuladen und zu installieren. So wird sichergestellt, dass ihr System automatisch auf dem aktuellsten Stand ist.

Nach einer Neuinstallation geben sie einfach (als root) yum update ein, um die gesamte Honeywall zu aktualisieren. yum verbindet sich mit der Fedora Webseite und lädt alle aktuelleren Betriebssystemupdates und -pakete herunter und installiert sie. Zusätzlich unterhält das Honeynet Project ein eigenes yum-Repository (Repo) für die honeywallspezifischen RPMs. Hierbei handelt es sich um die Pakete, die aus einem Fedora Core 3 (Roo's Basis-Betriebssystem) eine voll funktionsfähige Honeywall machen. RPM-Aktualisierungen kommen aus einem der folgenden Repos

• Honeywall Basis-Betriebssystem – zentraler Updateserver für Fedora Core 3
• Honeywallspezifische RPMs (Walleye, Inline aware snort usw.)
• Honeywall Base OS RPM Extras - Fedora CORE 3 Extras repo
• Honeywall Support RPMs – DAG Repo
• Honeywall Support RPMs – AT-RPMS Repo

Um die Kompatibilität der Pakete zu gewährleisten, empfehlen wir Updates nur von Fedora-Mirror-Seiten zu laden. Es ist notwendig, zu kontrollieren, welche RPMs von bestimmten Repos aktualisiert werden.

Aus Sicherheitsgründen sind alle RPMs (inklusive der Honeynet Project RPMs) mit dem GPG-Schlüssel ihrer jeweiligen Organisation signiert. Wir haben beschlossen, nicht die statischen GPG-Schlüssel für jedes Repo zu installieren, sondern Links zu den entsprechenden Schlüsseln für jedes Repo zu setzen. Das sollte es einfacher machen, neue Schlüssel zu erhalten, sollte es sich für den Repo-Verwalter irgendwann als nötig erweisen, neue Schlüssel auszugeben. Das bedeutet, das yum beim ersten Aktualisieren oder Installieren aus einem Repo sie zum "Bestätigen" auffordert, wenn es den GPG-Schlüssel für dieses Repo herunterlädt/installiert. Wenn dies geschieht, drücken sie einfach "y" um weiterzumachen.

Für diejenigen, die sich mit yum noch nicht auskennen nachfolgend ein paar grundlegende yum-Befehle. Noch mehr Informationen gibt es hier.

• Das gesamte System aktualisieren: yum update
• Das neue Paket "foo" installieren: yum install foo
• Nach dem Paket "foo-irgendwas" suchen: yum search foo-* (Reguläre Ausdrücke sind erlaubt)
• Verfügbare Updates anzeigen (ohne zu installieren): yum check-update
• Nur das Paket "foo" aktualisieren: yum update foo