Netzwerkoplizei

IPcop hat sich in den vergangenen Jahren nicht zuletzt wegen der Vielzahl verfügbarer Features und Addons zu einem der Top-Akteure im Bereich kostenloser Firewallrouter gemausert. Für den Betrieb benötigen Sie lediglich einen ausgemusterten Rechner. Ein P90 mit 32 MByte RAM, 500-MByte-Festplatte und zwei Netzwerkschnittstellen (NIC/NIC,NIC/ISDN etc.) reichen für den Normalbetrieb aus.

Konzipiert ist IPCop in erster Linie für kleinere Netzwerke bis etwa 50 Clients. Legt der Admin jenseits der Web-GUI Hand an, hat er mit IPCop allerdings auch für größere Netzwerke eine hervorragende Ausgangsbasis.

Sicher?

Neben Connection Tracking stellt IPCop auf der Anwendungsebenene des Netzwerks Proxydienste für die Protokolle http, https, ftp und dns bereit. Stellen nicht nur eine weitere Barriere zu den Clients dar, sondern entlasten auch de Traffic in das Internet. Dank übersichtlich aufbereiteter Logdateien lassen sich potentielle Angriffe leicht ermitteln. Die auf Snort basierende "Einbruchsdetektierung" sorgt für Transparenz. Da es in der Natur der Sache liegt, dass ein nicht unerhbelicher Teil der Einträge aus false positives besteht, sollten Sie jedoch zur richtigen Deutung der Logs ausreichend Bakgroundwissen mitbringen.

Installation

Eine grafische Installationsroutine erleichtert das Setup. Beachten Sie, dass IPCop immer die komplette(!) Festplatte für sich beansprucht. Testinstallationen auf einer Partition sind nicht möglich. Nach Abfrage der grundlegenden Eckdaten wie Quellmedium und Sprache bietet IPCop die Option, eine frühere Datensicherung einzuspielen und damit den Urpsrungszustand wiederherzustellen. Die Sicherung dieser Systemeinstellungen erfolgt über das Webfrontend. Die anschliessende Treiberinstallation der die Netzwerkkarten ermittelt die eingebauten Devices automatisch. In den meisten Fällen gelingt das auch und erfordert kein weiteres Zutun von Ihrer Seite. Ist das nicht der Fall, haben Sie die Möglichkeit, den Treiber manuell den jeweiligen Karten zuzuordnen. Eine Liste aller unterstützen Netzwerkgeräte finden Sie auf der IPCop Webseite [3]. Im nächsten Schritt legen die IP-Adresse des grünen – zum LAN gerichteten – Interface fest. Das im Anschluß abgefragte Tastaturlayout ist im Normalfall de-latin1-nodeadkeys, die Zeitzone CET (Central Europe Time).

Abbildung 1: Die grafische Installationsoberfläche erleichtert das Setup des IPCop.

Die Netzwerkkonfiguration startet mit der Abfrage, ob ISDN zu aktivieren ist. IPCop unterstützt die meisten gängigen ISDN-Karten wie Teles, ELSA, Sedlbauer oder AVM, der angebotene Treiber für die (weit verbreitete) Fritzcard PCI/PNP befindet sich jedoch im Experimentierstadium. Sollte IPCop Ihre ISDN-Karte nicht automatisch erkennen, wählen Sie in der Rubrik ISDN-Karte den passenden Treiber aus. Das zu verwendende Protokoll --in Deutschland meist DSS1-- legen Sie in der Rubrik Protokoll/Land fest. Im folgenden Fenster finden Sie als ersten Menüpunkt Typ der Netzwerkkonfiguration. Darüber legen Sie fest, welche Devices wofür zuständig sind. "Red" steht das externe Device, welches zum Internet zeigt, "grün" die Netzwerkkarte zum LAN, "orange" die DMZ und "blau" die WLAN-Karte. Bei einer Standardinstallation mit zwei Netzwerkkarten wählen Sie den Punkt Green + Red. Dies gilt auch, wenn Sie den IPCop an ein externes DSL-Modem anschliessen.

Im Punkt Adress-Einstellungen legen Sie die IP-Adressen der Karten fest. Als DSL-Nutzer mit einem externen Modem aktivieren Sie im roten Device den Punkt PPPOE. Analog-Modem-und ISDN-Benutzer überspringen diesen Abschnitt.

Den DHCP-Server aktivieren und konfigurieren Sie im nächsten Fenster. Sollten Sie Hosts mit statischer IP-Adresse betreiben, achten Sie darauf, dass sich die Adressen nicht mit der Range des DHCP überschneiden. Schliessen Sie nun die Konfiguration mit der Eingabe der Passwörter für root und admin ab. Aus Sicherheitsgründen kann root sich ausschliesslich an der Shell und admin lediglich an der Web-GUI anmelden.

Ist die Installation abgeschlossen, können Sie den Rechner getrost von sämtlichen Pheripheriegeräten befreien und in ein stilles Kämmerlein verfrachten. Ein physikalischer Zugriff ist nicht mehr erforderlich. Schalten Sie zuvor jedoch im BIOS Funktionen wie "Halt on all Errors" ab, da Ihr Rechner sonst unter Umständen nicht bootet. Zur nachträglichen Änderung des Setups rufen Sie das Kommando setup auf. Dieses öffnet das grafische Frontend , das Sie von der Installation kennen.