m0n0wall op een voormalige Wyse Winterm "terminal"

Ter vervanging van een oude firewall gebaseerd op Smoothwall die met de huidige downloadsnelheiden toch wel wat traag werd heb ik een nieuw apparaatje met m0n0wall in elkaar gezet. De toko waar ik dit 2e hands apparaatje vandaan heb gehaald is trouwens niet erg goedkoop als je meer wilt dan alleen de hardware. Overigens zeggen ze nergens dat het een Wyse Winterm is maar hebben het over een mini-pc met een VIA EPIA VIA C3 550 Mhz moederbordje. Strikt genomen is dat correct want met het nodige zoeken kun je het vergelijkbare EPIA 800 bordje wel terugvinden op het web.

Een versie met 256 Mb geheugen en een 256 Mb IDE flashdisk kost € 49, zonder geheugen € 45. Een versie met Windows XP embedded kost dan € 65 evenals een versie met m0n0wall en een versie met FreeNAS. Voor de m0n0wall moet je er dan nog een extra netwerkkaartje insteken à raison € 17,50. En in alle gevallen voor verzending in Nederland € 6 plus een bedrag afhankelijk van je betaalwijze. Ideal is nog het goedkoopst en zelfs daar rekenen ze nog € 0,75 voor. Wat overigens pas op het laatste moment te zien is. En dan te bedenken dat ze in 2008 op een beurs voor € 25 weggingen volgens een berichtje op Tweakers.

Voor die 4 of 5 euro ga ik geen 256 Mb geheugen zoeken dus ik heb een exemplaar met geheugen en flashdisk besteld. Een netwerkkaartje had ik zelf nog wel liggen dus daarmee bespaarde ik me alvast € 17,50. Het Via EPIA bordje heeft overigens alle normale pc-aansluitingen zoals USB, twee IDE poorten, geluid, video, netwerk en een PCI-slot onboard. Het kastje heeft verder ruimte voor een 3.5" hdd en voor een slimline CD/DVD. Het PCI-slot is geplaats als risercard zodat het een mooi plat kastje is. Voor het installeren heb ik een externe cd-romdrive gebruikt omdat dat toch een eenmalige aangelegenheid is.

Overigens is zonder besturingssysteem betrekkelijk er zit een sticker voor XPe op de kast dus kun je heel legaal een nieuwe versie installeren als je de installatiemedia hebt. Maar XPe staat er gewoon nog op, alleen het Administrator wachtwoord is onbekend. En dat heb je nodig als je iets weg wilt schrijven naar de flashdisk. Omdat flashdisks maar beperkt schrijfbaar zijn wordt bij het opstarten alle bestandswijzingen inclusief swapbestand naar een ramdisk geschreven. Om wijzigingen permanent te maken moet je het write-filter activeren, iets dat alleen het Administrator-account kan doen.

Nu is dit exemplaar niet aangeschaft om te internetten maar hij zou daar wel prima geschikt voor zijn. Zodra je 'm uitzet zijn alle mogelijk kwaadaardige bestandswijzingen ook weg. Nu is de internet ervaring met een 550 Mhz C3 niet heel geweldig als je veel sites met Flash rommel bekijkt zoals Youtube. Maar de meeste meer tekst geörienteerde sites zijn er heel goed mee te doen. Al met al interessant genoeg om te proberen de XPe versie te bewaren voor verdere experimenten. Een thinclient die ook thinclient heet kost bij hetzelfde bedrijf overigens € 99 en meer dus weet wat je doet als je een tweedehands thinclient nodig hebt.

Mijn eerste poging om het wachtwoord te kraken met Ophcrack werkte niet echt. Alleen het userwachtwoord werd achterhaald: user maar dat wist ik al en bovendien logt ie automatisch in. Een andere password-cracker wilde geld zien en dat had ik er niet voor over. Maar de Offline NT Password & Registry Editor kraakt weliswaar geen Administrator passwords maar maakt ze gewoon leeg. In die enkele gevallen dat iemand Windows encryptie ingeschakeld heeft is het jammer want die bestanden blijven encrypted maar dat was hier niet het geval.

Voordat ik een kraakpoging kon doen moest ik eerst in het BIOS de boot-volgorde voor de cdrom-drive aanpassen. Helaas word je dan ook geconfronteerd met een wachtwoord. Een taaie want de CMOS resetten of de batterij eruit trekken helpt niet. Zoeken op het internet wel want Wyse blijkt zijn Winterms standaard te voorzien van het wachtwoord Fireport. Of het voor alle soorten en types geldt weet ik niet maar op dit exemplaar wel. Waarna ik de wachtwoorden in BIOS setup uit kon schakelen. In een ongecontroleerde omgeving kan ik me voorstellen dat je een dergelijk wachtwoord instelt. Waar dit machientje komt te staan ben je fysiek direct bij het netwerk zelf en dan is het weinig functioneel.

Na het wissen van het wachtwoord opnieuw opstarten en als Administrator het write-filter ingeschakeld en Disk2VHD opgehaald. Helaas wilde die niet werken omdat er geen snapshot van de drive gemaakt kon worden. Dus dan maar Puppy Linux opgestart maar omdat die volledig in RAM draait toch maar eerst even 256 Mb erbij gezet. Dat kan want er is ruimte voor twee geheugenplakken op het moederbordje. Niet vergeten even het netwerk te configuren omdat ik de image van de flashdrive naar een netwerkschijf wil kopieëren. En omgekeerd de image voor m0n0wall te downloaden en naar de flashdrive te schrijven.

De image van XPe is maar 256 Mb en bijna helemaal vol dus die kopieer ik ongecomprimeerd met dd if=/dev/hda of=/mnt/netwerk (/mnt/netwerk is gemount als mount -t smbfs //ipnummer/share /mnt/netwerk -o user=user -o password=password). En omgekeerd gunzip /tmp/m0n0wall.img|dd of=/dev/hda bs=16k. Na het rebooten krijg je een menu voor wat instellingen te wijzigen en te rebooten. Zodra je de twee netwerkkaarten een ip-nummer hebt gegeven kun je verder alles instellen via de webbrowser. Uiteraard moet je dan wel aan de goede kant van de firewall zitten anders gebeurt er niet veel.

m0n0wall is overigens gebaseerd op FreeBSD net als FreeNAS en qua gebruikersinterface lijken ze wel wat op elkaar en ook qua werking. FreeNAS kan ook in het geheugen draaien en wordt ook geconfigureerd met behulp van een enkel (xml-)bestand. BSD-varianten staan bekend om hun sterke beveiligingsvoorzieningen wat dat betreft staat m0n0wall op goede grond. Daarnaast is de filosofie van de bedenker ook dat een firewall vooral een firewall moet zijn.

Andere functies zijn er dus nauwelijks maar een bijzonderheid is wel dat je een Captive portal kunt instellen. Inclusief de mogelijkheid van vouchers zodat je bijvoorbeeld op een camping een betaalde wireless accesspoint kunt maken. Daarnaast kun je network traffic shaping inschakelen zodat je bepaalde soorten netwerkverkeer kunt beperken of bevoordelen. De doorvoersnelheid van de netwerkkaarten hangt overigens sterk af van het soort kaart en in hoeverre de host-processor belast wordt. De resultaten in de praktijk bij een snelle verbinding komen nog wel een keer hier aan bod. De paar kleine testen die ik nu gedaan heb zijn echter veelbelovend.