IPCop: kostenlose Linux-Firewall
Internet-Polizei
Linux-Firewall
IPCop: kostenlose Linux-Firewall
Die Linux-Distribution IPCop bietet eine Firewall, die alle notwendigen Schutzfunktionen für das Unternehmens-Netzwerk enthält. Der mitgelieferte DHCP-Server versorgt Clients im lokalen Netzwerk (LAN) mit IP-Adressen. Für die Beschleunigung von DNS-Anfragen sorgt ein Caching-DNS-Proxy. Für schnellere Web-Zugriffe steht ein Web-Proxy bereit.
Ebenfalls eingebaut ist ein Intrusion-Detection-System, mit dem der Administrator Angriffe auf das Netzwerk schneller erkennt. Der durch die Firewall geleitete Datenverkehr lässt sich mit Prioritäten versehen, so dass Traffic aus interaktiven Tätigkeiten wie einer Secure Shell (SSH) einen höheren Durchsatz erhält als ein einfacher FTP-Transfer.
Sie installieren IPCop als eigenständiges System auf einem passenden Rechner. Obwohl es sich bei der Software um eine vollwertige Linux-Distribution handelt, sind viele Dienste nicht darin enthalten: Ein FTP-Server fehlt zum Beispiel. Der Grund: Zusätzliche Programme und nicht benötigte Dienste wurden entfernt, da sie Angriffsflächen und somit ein unnötiges Risiko darstellen.
Planen vor der Installation
IPCop: kostenlose Linux-Firewall
IPCop teilt das Netz in vier farbkodierte Bereiche auf: Rot, Grün, Blau und Orange. Das rote Netzwerk-Interface beschreibt das Internet oder andere Systeme, denen Sie nicht vertrauen. Alle Systeme hinter dem roten Interface gelten als potenziell gefährlich. IPCop versucht, alle Systeme hinter den anderen drei Interfaces vor schadhaftem Verkehr aus Richtung der roten Verbindung zu schützen. Die Verbindung mit dem roten Netzwerk-Teil stellt IPCop dabei genau so her, wie Sie sich mit dem Internet verbinden.
Der grüne Bereich umfasst das eigentliche LAN oder mindestens einen Rechner, den IPCop schützen soll. Hinter dem optionalen blauen Interface befinden sich Computer, die drahtlos mit dem LAN kommunizieren. Über WLAN angebundene Rechner sind immer gefährdet und dürfen sich mit dem grünen Teil des Netzwerks nicht ohne weiteres verbinden. Eine sichere Verbindung beispielsweise per VPN (Virtual Private Network) ist hier Voraussetzung.
Das ebenfalls optionale orangefarbene Interface führt zu Rechnern, die zwar zu Ihrer Organisation gehören, aber öffentlich, also vom Internet aus, zu erreichen sind. Dabei handelt es sich zum Beispiel um frei zugängliche Web- oder FTP-Server. Diesen geschützten Bereich nennt man auch Entmilitarisierte Zone (Demilitarized Zone, DMZ).
IPCop behandelt das grüne Subnetz als völlig vertrauenswürdig: Jede Verbindung aus diesem Netz stuft die Firewall standardmäßig als sicher ein. Das bedeutet aber, dass eine Verbindung, die ein Trojaner im grünen Netz-Segment startet, nicht blockiert wird. Haben Sie keine Schutzmechanismen für ausgehende Verbindungen, überprüfen Sie regelmäßig die Log-Dateien des Intrusion-Detection-Systems in IPCop. So lassen sich im Hintergrund aktive Trojaner erkennen.
Verbindung sicherstellen
IPCop: kostenlose Linux-Firewall
Über das rote Interface stellt der IPCop-Rechner die Verbindung zum Internet her. Die Hardware unterscheidet sich nicht von der, die Sie bereits jetzt für den Netzzugang verwenden. Es kann sich um eine Netzwerkkarte handeln, die den Rechner mit dem DSL-Modem verbindet, um ein Modem oder eine ISDN-Karte. Für die Verbindung zum LAN über das grüne Interface benötigen Sie eine Netzwerkkarte. In der Regel enthält ein IPCop-PC also zwei Netzwerkkarten.
Bei der Installation untersucht IPCop den Rechner und versucht, Informationen über Modems und Netzwerkkarten zu ermitteln. Dies verläuft nicht immer erfolgreich. Notieren Sie sich daher die Konfigurationsparameter, bevor Sie Ihr bestehendes System verändern. So lässt sich die IPCop-Firewall leichter zum Leben erwecken, falls es bei der Hardware-Erkennung zu Problemen kommt.
Die Installation läuft im Textmodus ab, so dass Sie währenddessen Monitor und Tastatur am IPCop-Rechner benötigen. Im laufenden Betrieb ist das später nicht mehr notwendig. Bei entsprechender Bios-Unterstützung können Sie Monitor und Tastatur nach der Installation entfernen. So verhindern Sie gezielt, dass unbefugte Mitarbeiter die Konfiguration verändern.
Installation von IPCop
IPCop: kostenlose Linux-Firewall
Am einfachsten installieren Sie IPCop über das bootbare CD-Image. Kann die für IPCop geplante Hardware nicht von CD-ROM starten, bietet die IPCop-Homepage alternative Möglichkeiten zum Booten mit Hilfe von Diskette. Das ISO-Image ist rund 40 MByte groß. Brennen Sie es auf einen Rohling und booten von dieser CD. Vor dem Start des Setups erscheint ein Hinweis, dass die Installation alle bestehenden Daten von der Festplatte löscht. Um die Installation tatsächlich zu starten, müssen Sie die Meldung mit [Return] quittieren.
Im nächsten Schritt wählen Sie Deutsch als Sprache für die Installation aus. IPCop zeigt anschließend einige Hinweise an, die Sie einfach mit [Return] annehmen.
Die Frage nach den Systemeinstellungen beantworten Sie mit Überspringen. Danach versucht die Firewall, die Netzwerkkarte für den grünen Teil des Netzwerks zu erkennen. Für diese Karte muss eine IP-Adresse eingegeben werden. Danach fragt das Installationsprogramm Angaben zu Tastatur, Zeitzone, Host- und Domain-Name ab. Im folgenden Dialog lassen sich die Parameter für die ISDN-Wählverbindung festlegen.
Selbst wenn Sie diesen Dialog überspringen, verwendet IPCop als Einstellung die Konfiguration mit einem grünen und einem roten Netzwerk-Teil, bei dem das rote Interface ein Modem oder eine ähnliche Verbindung darstellt. Ändern können Sie dies im Dialog Netzwerkkonfiguration. Hier klicken Sie auf Netzwerktyp und wählen danach den passenden Typ aus. Wenn Sie die empfohlene Konfiguration mit zwei Netzwerkkarten verwenden, benutzen Sie den Typ GREEN + RED.
Installation abschließen
IPCop: kostenlose Linux-Firewall
Danach bestimmen Sie die Schnittstelle für das rote Segment. Wählen Sie den Befehl Treiber- und Kartenzuordnung. Hier bietet IPCop von sich aus die zusätzliche zweite Karte an. Auch dieses Interface versorgen Sie mit IP-Adressinformationen. Erhalten Sie die IP-Adresse dynamisch vom Internet-Provider, benutzen Sie die Option DHCP und geben Sie den Namen des DHCP-Hosts an.
Haben Sie hingegen eine feste IP-Adresse, wählen Sie die Option statisch und tragen IP-Adresse und Subnetzmaske in den Dialog ein. Zudem erwartet IPCop die IP-Adressen für den DNS-Server und das Standard-Gateway (den Router).
Danach schaltet die Firewall-Konfiguration zu einem Dialog, mit dem der Admin den DHCP-Server konfiguriert. Falls die Clients feste IP-Adressen benutzen, lassen Sie diese Komponenten zunächst deaktiviert. Dann müssen Sie noch zwei Passwörter eingeben: Das Root-Passwort dient zur Anmeldung an einer Verwalter-Konsole. Mit dem zweiten Passwort loggen Sie sich auf der administrativen Webseite ein. Damit ist der textbasierte Teil der Installation abgeschlossen und Sie müssen den IPCop-Rechner neu starten. Die restliche Verwaltung erledigen Sie per Webbrowser, mit dem Sie nun auf Port 81 des IPCop-Rechners navigieren.
Setup von Konsole starten
IPCop: kostenlose Linux-Firewall
Wenn das Login am Browser nicht gelingt, können Sie die Konfiguration auch nachträglich auf der Konsole ändern. Das zugehörige Programm gelangt während der Installation auf die Platte. Melden Sie sich an der Konsole des IPCop-Rechners mit dem root-Account an. Zur Änderung der Konfiguration benutzen Sie das Programm setup, das sich in /usr/local/sbin aufhält.
Das Programm fragt zunächst, welche Einstellung geändert werden soll. Dabei zeigt es genau die Kategorien an, die bereits von der Ins
tallation bekannt sind. Wenn Sie eine davon auswählen, gelangen Sie zum Dialog für die gewünschte Einstellung.
Konfiguration per Browser
IPCop: kostenlose Linux-Firewall
Die Verbindung per Webbrowser lässt sich zu zwei Ports herstellen. Entweder mit normalem HTTP zu Port 81 oder geschützt durch den Secure Socket Layer per HTTPS zu Port 451. In beiden Fällen zeigt der in IPCop eingebaute Webserver die Startseite an. Von hier aus erreichen Sie alle weitergehenden administrativen Seiten des Programms. Dazu wählen Sie in der Navigationsleiste am oberen Bildrand den gewünschten Konfigurationsbereich aus. Der Browser öffnet anschließend ein Pull-down-Menü, aus dem Sie den gewünschten Befehl auswählen.
Am bequemsten nehmen Sie Änderungen remote per SSH-Zugriff vor. Der Befehl SSH-Access im Menü System öffnet eine Webseite, auf der Sie SSH aktivieren und mit zusätzlichen Parametern einstellen. Eine Besonderheit des SSH-Daemons ist, dass er nicht auf dem Standard-Port 22, sondern auf dem Port 222 auf eingehende Verbindungen wartet. Diesen Port geben Sie beim Aufruf des SSH-Clients mit der Option -p an.
Detallierte Statusmeldungen
IPCop: kostenlose Linux-Firewall
Mit den Befehlen im Menü Status erhalten Sie eine ausführliche Übersicht über den Zustand der Firewall. Der erste Befehl zeigt beispielsweise, welche Dienste momentan auf dem System im Betrieb sind. Auch Informationen über Speicherauslastung, Festplattenverbrauch und Uptime sowie viele andere Parameter lassen sich hier gezielt abfragen.
Ein besonderes Augenmerk haben die Entwickler auf die verschiedenen Graphen gelegt. IPCop zeichnet unter anderem eine sehr übersichtliche Grafik zum Netzwerk-Verkehr, den die Firewall untersucht hat. Dabei unterscheidet die Software zwischen ein- und ausgehendem Datenverkehr. Sehr gut: Für jede der vier Schnittstellen existiert eine separate Grafik, so dass der Administrator immer den Überblick behält.
Web-Proxy konfigurieren
IPCop: kostenlose Linux-Firewall
Das nächste zur Konfiguration wichtige Menü ist Services. Hier stellt der Administrator die eigentlichen Dienste des Internet-Polizisten ein. An erster Stelle steht der Web-Proxy-Dienst. Dieses Programm ruft stellvertretend für den Benutzer Seiten aus dem Internet ab. Auf Wunsch sorgt IPCop dafür, dass diese Seiten zwischengespeichert werden. Auf diese Weise füllt sich mit der Zeit ein gemeinsamer Web-Cache für das LAN. Im Konfigurationsdialog des Web-Proxys aktivieren Sie diesen zunächst für den grünen und den blauen Teil des Netzwerks.
Weitaus praktischer ist es aber, wenn Sie zusätzlich die Option Transparent einschalten. Dann müssen Sie nämlich keine Konfigurationsänderung an den Client-Browsern mehr vornehmen. Stattdessen leitet IPCop die Anfragen automatisch an den Proxy weiter. Wenn Sie auf Option Transparent verzichten, müssen Sie die Browser der einzelnen Clients manuell so konfigurieren, dass sie den Firewall-Rechner als Proxy ansteuern. Das bringt in der Praxis jedoch keinen spürbaren Vorteil, so dass der immense Administrationsaufwand letztlich nicht gerechtfertigt ist.
Im mittleren Bereich des Dialogs zur Konfiguration des Proxys finden Sie drei Einstellungen, die hauptsächlich mit der Performance des Proxy-Caches zu tun haben: Sie können eine maximale Größe für den Cache einstellen und festlegen, wie groß ein Objekt mindestens sein muss, um im Cache zu landen, beziehungsweise, wie groß eine Datei maximal sein darf. Das ist vor allem wichtig, um den Cache nicht zu schnell mit einigen großen Dateien zu füllen, die nur selten angefragt werden.
DHCP konfigurieren
IPCop: kostenlose Linux-Firewall
Mit dem nächsten Befehl im Menü Service konfigurieren Sie den DHCP-Dienst. Damit steuern Sie die IP-Konfiguration aller Workstations im LAN zentral vom IPCop-Rechner. Auch diese Konfigurationsmöglichkeit steht nur für den grünen und den blauen Teil des Netzes zur Verfügung.
Sind die Workstations so konfiguriert, dass sie nach einem DHCP-Server suchen, lassen sich die gängigsten IP-Parameter sehr einfach festlegen. So müssen etwa der gültige Adressbereich sowie die IP-Adressen des primären und sekundären DNS-Servers angegeben werden. Auch die Adressen von NTP-Zeitservern und WINS-Servern werden hier eingetragen. WINS (Windows Internet Name Service) brauchen Sie, wenn sich auch Windows-Rechner im LAN befinden. Der Dienst setzt ähnlich wie DNS IP-Adressen in Hostnamen um.
In diesem Menü können bestimmten Geräten auch feste IP-Adressen zugeordnet werden. Wie bei DHCP üblich, wird die IP-Adresse über die MAC-Adresse der Netzwerkkarte im Gerät zugeordnet. Vorsicht ist bei Windows angebracht: Das Kommando ipconfig liefert die MAC-Adresse in einem anderen Format zurück, als es IPCop erwartet. Ersetzen Sie die von Windows eingefügten Bindestriche in der MAC-Adresse einfach durch Doppelpunkte, nimmt IPCop die Adressen problemlos an.
Dynamische DNS einrichten
IPCop: kostenlose Linux-Firewall
Damit Server mit dynamischen IP-Adressen unter einer festen URL erreichbar sind, können Sie beispielsweise den kostenlosen IP-Weiterleitungsdienst Dyn-DNS nutzen. Dazu besorgen Sie sich zunächst eine Subdomäne wie troja.dyndns.org bei einem Dyn-DNS-Provider. Dies ist meist mit einer Registrierung verbunden.
Der Server nimmt dann jedes Mal selbsttätig Kontakt mit dem Dyn-DNS-Provider auf, wenn er eine neue IP-Adresse vom ISP zugewiesen bekommt. Dem Dyn-DNS-Provider übermittelt der Rechner automatisch die aktuelle IP-Adresse, woraufhin der Provider den DNS-Record troja.dyndns.org auf die IP-Adresse verweisen lässt. Der Computer ist dann unter diesem Namen per URL oder mit einem Terminal-Programm wie Telnet oder SSH zu erreichen.
»Hosts«-Datei bearbeiten
IPCop: kostenlose Linux-Firewall
Das Web-Interface von IPCop bietet dem Administrator auch die Möglichkeit, die Datei hosts zu bearbeiten. Das ist hauptsächlich für die Rechner im LAN sinnvoll Server im Internet lassen sich besser mit dem cachenden DNS-Server von IPCop erreichen. Um einen eigenen Rechner einzutragen, wählen Sie den Befehl Edit Hosts… Dieser öffnet eine Webseite, auf der Sie die IP-Adresse des Rechners und den Hostnamen eingeben.
Rechts unten auf der Seite finden Sie den Button Add. Ein Klick darauf speichert den neuen Eintrag in der Hosts-Datei. Welche Einträge sich bereits darin befinden, ermitteln Sie mit dem Befehl Current Hosts. Dieser listet alle Einträge aus der Datei zeilenweise auf und bietet auch eine Möglichkeit, einen Eintrag zu ändern oder zu löschen.
Die richtige Zeit entscheidet
IPCop: kostenlose Linux-Firewall
IPCop kann seine Systemuhr mit einem Zeitserver aus dem Internet synchronisieren und ist auch in der Lage, selbst als Zeitserver für die Rechner im LAN aufzutreten. Falls sich noch kein Zeitserver in Ihrem Netz befindet, sollten Sie von dieser IPCop-Funktion unbedingt Gebrauch machen. Viele Dienste wie zum Beispiel das Ticket-System Kerberos setzen nämlich voraus, dass alle Computer im Netzwerk nach derselben Zeit laufen. Die notwendigen Konfigurationsschritte für die IPCop-Nutzung als Zeitserver nehmen auf der Seite Time Server… vor.
Schalten Sie die Option Obtain time from a Network Time Server ein und geben dann die Namen eines primären und eines sekundären Zeitservers an. Beliebt sind hier zum Beispiel die Server der Physikalisch-Technischen Bundesanstalt in Braunschweig: ptbtime1.ptb.de und ptbtime2.ptb.de.
Damit IPCop auch zum Zeitserver für das LAN wird, schalten Sie darüber hinaus die Option Provide time to local network ein. Auf dem unteren Bereich der Webseite geben Sie einen Zeitraum an, in dem IPCop die Uhrzeit auf dem Server mit dem Zeitserver abgleichen soll. Hier ist ein Zeitab
stand von einem Tag ausreichend. Um mit dem Abgleich der Uhrzeit zu beginnen, drücken Sie auf den Button Set Time Now. Bis IPCop die Zeit stellt, können einige Minuten vergehen.
Prioritäten für Dienste
IPCop: kostenlose Linux-Firewall
Mit den Optionen der Seite Traffic-Shaping behandeln Sie bestimmten Datenverkehr bevorzugt. Dazu verwendet IPCop die Software Wondershaper. Das Programm kümmert sich darum, dass interaktiver Traffic wie etwa eine SSH-Sitzung nicht unter dem Bandbreitenverbrauch einer anderen TCP-Verbindung leidet. Um Traffic-Shaping zu verwenden, aktivieren Sie die dazu gehörende Options-Box. Ferner geben Sie an, wie schnell die Downlink- und Uplink-Verbindungen sind. Danach zwingen Sie mit dem Kommando Add Service einen Dienst unter die Kontrolle von Wondershaper und weisen diesem eine bestimmte Priorität zu. Damit das später auch funktioniert, tragen Sie alle Dienste ein, die Traffic auf dem IPCop-Rechner erzeugen.
Im Menü Firewall konfigurieren Sie die Schutzfunktion von IPCop genauer. Die meisten Einstellungen nimmt IPCop während der Konfiguration vor. Dabei reagiert das Programm auf bestimmte Optionen wie etwa den Installationstyp. So kann der rote Bereich des Netzwerks zum Beispiel auf keinen der drei anderen zugreifen, die grüne Zone hat dagegen Zugang zu allen anderen. Der orangefarbene und der blaue Bereich wiederum erlauben den Zugriff, der zwischen diesen beiden Extremen liegt. Auf die Firewall-Befehle greifen Sie nur zurück, wenn Sie an diesem Verhalten etwas ändern wollen. Um die Funktionsweise der Firewall weitergehend zu beeinflussen, ändern Sie die eigentlichen Regeln per Hand über die Konsole.
Mit den Firewall-Menüs können Sie Port-Forwarding, den Zugriff auf den IPCop aus dem Internet, beschränkte Zugriffsrechte von Maschinen aus der DMZ (orange) auf das interne Netz sowie Zugänge aus dem blauen Netzteil zum IPCop zu konfigurieren.
Fazit: Firewall mit Extras
IPCop: kostenlose Linux-Firewall
IPCop ist ein sehr einfach zu installierendes Firewall-System, das sich auch für die Verwaltung eines kleines Netzes hervorragend eignet. Neben der Firewall-Funktionalität erhalten Sie auch einen DHCP-Server mit beigeordneten Diensten und Funktionen. So wird IPCop zum perfekten Internet-Gateway, das mit wenig administrativem Aufwand verwaltet werden kann.