VyOS Firewall: Den Stærke Software Router til Virtuelle Labs

Når du som IT Sikkerhedsstuderende har behov for at bygge “Defense in Depth”-arkitekturer – f.eks. at segmentere dit netværk op i en DMZ, et IT netværk og et OT netværk – er en stærk firewall og router uundværlig. I cloud- og virtuelle miljøer bruges meget sjældent dyre fysiske Cisco eller Fortinet kasser som hjernen i ens subnets. Man bruger Software Routers.

Blandt favoritterne til professionel open-source enterprise routing ligger VyOS.

I denne artikel kigger vi på, hvad VyOS er, hvorfor det er så populært (både on-premise og cloud), og hvordan du kan integrere og bruge det til at bygge dit eget skarpe segmenterede testlaboratorium i et Virtual Machine (VM) miljø.

1. Hvad er VyOS?

VyOS er et open source Linux-baseret styresystem (Debian under motorhjelmen), som specifikt fokuserer på at levere netværks-routing og firewall-løsninger af rent enterprise-kaliber (som ellers koster mange tusinde kroner i licens til de store leverandører). Det udvikles ud fra kildekoden af den maskine, der førhen var kendt som Vyatta.

Det skiller sig udtalt ud fra grafiske modparter som f.eks. pfSense/OPNsense, ved at:

1. Være 100% kommandolinje-baseret (CLI): Modsat en grafisk brugerflade, har VyOS en kommandolinjestruktur, der visuelt og operationelt tager massiv inspiration fra udstyret lavet af det berømte mærke Juniper Networks.
2. Samling af konfigurationer: Hvor en standard Linux kræver rettelser i ti forskellige mapper (IP tables dér, DNS et andet sted, netplan i yaml, og DHCP-Server over i en fjerde .conf-fil), foregår al konfiguration i VyOS i ét samlet træstruktureret system, som kan holdes samlet og sikkerhedskopieres på 3 sekunder.

Med VyOS kan du bygge ruting af BGP, OSPF, Site-to-Site WireGuard VPN’s og dybe Zone-baserede Firewall Regler, uden at betale for licenser.

2. Sådan bruger man VyOS (Basal Konfiguration)

Du styrer en VyOS enhed gennem terminalen. Som sagt foregår alt interaktivt i ét miljø. Når du logger ind første gang, er du i “Operational mode” (hvor du kigger på ting, pinger osv).

Skriv configure for at slå over i konfigurationstilstand, hvor du kan lave ændringer. Ændringer træder IKKE i kraft, før du som administrator tillader det.

Et Konfigurationseksempel: At sætte IP og en simpel firewall

Her sætter vi en IP på eth0 og smider en firewall drop policy på al trafik der lytter:

1. Gå ind i configuration mode:

   vyos@vyos:~$ configure

2. Tildel IP til interfacet og sæt hostnavn:

   vyos@vyos# set interfaces ethernet eth0 address 192.168.1.1/24
   vyos@vyos# set system host-name KERN-FIREWALL

3. Opret en firewall regel, der for byder ubuden adgang:

   vyos@vyos# set firewall name WAN_IN default-action drop
   vyos@vyos# set firewall name WAN_IN rule 10 action accept
   vyos@vyos# set firewall name WAN_IN rule 10 state established enable
   vyos@vyos# set interfaces ethernet eth0 firewall in name WAN_IN

4. Den sande styrke i VyOS: Commit-Systemet! Selvom du har skrevet alt ovenstående, er ingenting implementeret endnu. VyOS skåner dig for katastrofer. Skriv commit for at foretage alle ændringerne atomisk. Virker internettet stadig? Fantastisk. Nu kan du skrive save for permanent at udrulle det til systemet (startup-config).

I klassisk industri netværks-management, betragtes netop “Commit -> Save” systemet som uhyre robust!

3. Anvendelse i et Virtuelt Lab (Hypervisor/VMware)

Som IT sikkerhedsstuderende benytter man ofte VMWare, Proxmox eller VirtualBox. At benytte VyOS herinde giver en markant fordel frem for blot at lade din hypervisor “Nat-route” dine VM-netværk automatisk.

Scenario for Opsætning (En Purdue Zone Firewall):

1. Download: Hent .iso-installationsfilen (Rolling Release) gratis på VyOS.net.
2. Konfigurer Hardware i VM’en: Opret den nye VM. Tildel enheden, udover den harddisk den installeres på, i alt 3 dedikerede netværkskort (Network Adapters).
3. Deploy i Hypervisor:
   • Adapter 1 (eth0) - “WAN”: Bridged/NAT ud mod dit rigtige hjemmenetværk og internet.
   • Adapter 2 (eth1) - “Corporate IT”: VMWare Vmnet2 / Host-only. Her sætter du din Kali Linux maskine eller Windows Active Directory.
   • Adapter 3 (eth2) - “OT / SCADA”: VMWare Vmnet3 / Host-only. Her sætter du dit OpenPLC lab du byggede i forrige uge.

               [ Internettet / WAN ] 
                         |
(eth0) ─────────────────────────────────────
                         |
               .-------------------.
               |                   |
               |  VyOS Firewall VM |
               |                   |
               '---------┬---------' 
         (eth1) ─────────┴───────── (eth2)
           |                          |
    [ IT Netværk ]             [ OT Netværk ]
   (Kali/AD Server)            (SCADA Laboratorium)

Når dette lab er aktiveret, kan Kali Linux-maskinen nede i IT-netværket, afhængig af dine Zone-Firewall-regler inde i VyOS hjernen, tildeles adgang til at “pen-teste” de lukkede modbus TCP-porte i OT-netværket.

Der er i dag ingen realistiske penetration-/forsvars-testmiljøer uden at der sidder en robust firewall/router som en barriere i hjertet af designet – VyOS er i min optik det bedste, letvægtige, open-source valg til præcis den opgave i dine labs!

Kilder

• VyOS Documentation - Officiel teknisk dokumentation og konfigurationsvejledninger.
• VyOS Project - Officiel hjemmeside for VyOS-projektet.
• VyOS GitHub Repository - Kildekode for VyOS-systemet.
• Proxmox VE Documentation: Networking - Officiel Proxmox VE-guide til netværkskonfiguration, populær hypervisor til VyOS-lab opsætninger.