IPcop hat sich in den vergangenen Jahren nicht zuletzt wegen der Vielzahl verfügbarer Features und Addons zu einem der Top-Akteure im Bereich kostenloser Firewallrouter gemausert. Für den Betrieb benötigen Sie lediglich einen ausgemusterten Rechner. Ein P90 mit 32 MByte RAM, 500-MByte-Festplatte und zwei Netzwerkschnittstellen (NIC/NIC,NIC/ISDN etc.) reichen für den Normalbetrieb aus.

Konzipiert ist IPCop in erster Linie für kleinere Netzwerke bis etwa 50 Clients. Legt der Admin jenseits der Web-GUI Hand an, hat er mit IPCop allerdings auch für größere Netzwerke eine hervorragende Ausgangsbasis.

Sicher?

Neben Connection Tracking stellt IPCop auf der Anwendungsebenene des Netzwerks Proxydienste für die Protokolle http, https, ftp und dns bereit. Stellen nicht nur eine weitere Barriere zu den Clients dar, sondern entlasten auch de Traffic in das Internet. Dank übersichtlich aufbereiteter Logdateien lassen sich potentielle Angriffe leicht ermitteln. Die auf Snort basierende "Einbruchsdetektierung" sorgt für Transparenz. Da es in der Natur der Sache liegt, dass ein nicht unerhbelicher Teil der Einträge aus false positives besteht, sollten Sie jedoch zur richtigen Deutung der Logs ausreichend Bakgroundwissen mitbringen.

Installation

Eine grafische Installationsroutine erleichtert das Setup. Beachten Sie, dass IPCop immer die komplette(!) Festplatte für sich beansprucht. Testinstallationen auf einer Partition sind nicht möglich. Nach Abfrage der grundlegenden Eckdaten wie Quellmedium und Sprache bietet IPCop die Option, eine frühere Datensicherung einzuspielen und damit den Urpsrungszustand wiederherzustellen. Die Sicherung dieser Systemeinstellungen erfolgt über das Webfrontend. Die anschliessende Treiberinstallation der die Netzwerkkarten ermittelt die eingebauten Devices automatisch. In den meisten Fällen gelingt das auch und erfordert kein weiteres Zutun von Ihrer Seite. Ist das nicht der Fall, haben Sie die Möglichkeit, den Treiber manuell den jeweiligen Karten zuzuordnen. Eine Liste aller unterstützen Netzwerkgeräte finden Sie auf der IPCop Webseite [3]. Im nächsten Schritt legen die IP-Adresse des grünen – zum LAN gerichteten – Interface fest. Das im Anschluß abgefragte Tastaturlayout ist im Normalfall de-latin1-nodeadkeys, die Zeitzone CET (Central Europe Time).

Abbildung 1: Die grafische Installationsoberfläche erleichtert das Setup des IPCop.

Die Netzwerkkonfiguration startet mit der Abfrage, ob ISDN zu aktivieren ist. IPCop unterstützt die meisten gängigen ISDN-Karten wie Teles, ELSA, Sedlbauer oder AVM, der angebotene Treiber für die (weit verbreitete) Fritzcard PCI/PNP befindet sich jedoch im Experimentierstadium. Sollte IPCop Ihre ISDN-Karte nicht automatisch erkennen, wählen Sie in der Rubrik ISDN-Karte den passenden Treiber aus. Das zu verwendende Protokoll --in Deutschland meist DSS1-- legen Sie in der Rubrik Protokoll/Land fest. Im folgenden Fenster finden Sie als ersten Menüpunkt Typ der Netzwerkkonfiguration. Darüber legen Sie fest, welche Devices wofür zuständig sind. "Red" steht das externe Device, welches zum Internet zeigt, "grün" die Netzwerkkarte zum LAN, "orange" die DMZ und "blau" die WLAN-Karte. Bei einer Standardinstallation mit zwei Netzwerkkarten wählen Sie den Punkt Green + Red. Dies gilt auch, wenn Sie den IPCop an ein externes DSL-Modem anschliessen.

Im Punkt Adress-Einstellungen legen Sie die IP-Adressen der Karten fest. Als DSL-Nutzer mit einem externen Modem aktivieren Sie im roten Device den Punkt PPPOE. Analog-Modem-und ISDN-Benutzer überspringen diesen Abschnitt.

Den DHCP-Server aktivieren und konfigurieren Sie im nächsten Fenster. Sollten Sie Hosts mit statischer IP-Adresse betreiben, achten Sie darauf, dass sich die Adressen nicht mit der Range des DHCP überschneiden. Schliessen Sie nun die Konfiguration mit der Eingabe der Passwörter für root und admin ab. Aus Sicherheitsgründen kann root sich ausschliesslich an der Shell und admin lediglich an der Web-GUI anmelden.

Ist die Installation abgeschlossen, können Sie den Rechner getrost von sämtlichen Pheripheriegeräten befreien und in ein stilles Kämmerlein verfrachten. Ein physikalischer Zugriff ist nicht mehr erforderlich. Schalten Sie zuvor jedoch im BIOS Funktionen wie "Halt on all Errors" ab, da Ihr Rechner sonst unter Umständen nicht bootet. Zur nachträglichen Änderung des Setups rufen Sie das Kommando setup auf. Dieses öffnet das grafische Frontend , das Sie von der Installation kennen.

Konfiguration

Abbildung 2: Zur Konfiguration stellt IPCop ein übersichtliches Webfrontend bereit.

Die Konfiguration von IPCop erreichen Sie über die URL https://<ipadresse_des_ipcop>:445. Melden Sie sich bei der Authentifizierungsabfrage als User admin mit dem von Ihnen gewählten Passwort an. IPCop aktualisiert die Liste der verfügbaren Updates selbständig, die Sie über den Menüpunkt SystemUpdates einsehen können. Beim klick auf den Link Info neben der jeweiligen Beschreibung gelangen Sie zur Downloadseite des Patches. Laden Sie diesen auf ihren lokalen Rechner herunter und anschliessend auf den IPCop. Die Datensicherung erreichen Sie über den gleichnamigen Punkt im Menü System. Die Sicherungssätze werden zunächst auf dem IPCop gespeichtert, . Jedoch sollten Sie zumindest einen Datensatz auf Ihrem lokalen Rechner speichern, um im Schadensfall eine schnelle Wiederherstellung zu gewährleisten. Möchten Sie die Sicherung als Grundlage für ein Desaster Recovery verwenden, legen Sie eine formatierte Diskette auf in IPCop ein und drücken Sie den Button "Datensicherung auf Diskette". Bei einer Neuinstallation verwendet IPCop die enthaltenen Konfigurationsdateien.

Abbildung 3: Gesicherte Systemdateien stehen sowohl verschlüsselt oder als Tarball zum Download bereit.

Unter der Rubrik SystemSSH-Zugriff aktivieren und konfigurieren Sie den SSH-Daemon, den Sie über Prot 222 erreichen. Der Punkt TCP-Forwarding erlaubt, potentiell unsichere Protokolle über einen sicheren SSH-Tunnel zu betreiben [4].

Ab-ins-Internet

Unter NetzwerkEinwahl konfigurieren Sie die externen Netzwerkdevices. Sollten Sie das angezeigte Device wechseln, klicken Sie auf aktualisieren, da die eingeblendeten Konfiguration von der gewählten Schnittstelle abhängen. Als DSL-Nutzer mit externem Modem wählen Sie als Schnittstelle PPPoE. Geben Sie unter "Authentifizierung" den Benutzernamen und das Passwort an, das Sie von Ihrem ISP erhalten haben. Sollte es beim Verbindungsaufbau zu Problemen kommen, finden Sie im Menüpunkt Logs detailierte Hinweise, die Ihnen bei der Fehlerbeseitigung helfen.

Zu Diensten

Die Konfiguration des DHCP-Servers erreichen Sie über den Menüpunkt DiensteDHCP-Servers. Im oberen Bereich DHCP finden Sie generelle Einstellungen wie Adressbereich, Leasetime und Adressen, die dem Client übermittelt werden (DNS, NTP, WINS), im unteren Bereich treffen Sie feste Zuordnungen von MAC zu IP-Adressen. Eingetragene Rechner bekommen dann bei der Anmeldung immer die gleiche IP-Adresse zugewiesen.

Die Konfiguration von DiensteDynamischer DNS erlaubt die Zuordnung von dynamischen IP-Adressen zu statischen Domain-Namen, setzt aber voraus, dass sie bei einem Anbieter wie http://dyndns.org über ein entsprechendes Konto verfügen. Bei jeder Einwahl aktualisiert IP-Cop anhand der von Ihnen hinterlegten Daten die Zuordnung.

Der zunächst trivial anmutende Punkt DiensteHosts bearbeiten hat bei näherer Betrachtung durchaus seine Berechtigung. Wie bereits beschrieben verfügt IPCop über einen DNS-Relay namens dnsmasq. Dieser leitet DNS-Anfragen in erster Linie an einen öffentlichen Nameservice weiter, jedoch nur, wenn die Adresse lokal über diese Datei hosts nicht aufzulösen ist. Kleine Netzwerke haben damit eine einfache Möglichkeit einer zentralen Namensauflösung. Der unter DiensteZeitserver zu konfigurierende NTP-Server stellt auf Wunsch allen Rechnern im Netz die aktuelle Zeit zur Verfügung.

Über DiensteTraffic Shaping stellen Sie grundlegende Bandbreitenbegrenzungen ein. Neben der globalen Bandbreitenzuordnung besteht jedoch nur die Möglichkeit, bestimmten Ports Prioritäten aber keine Limits zuzuweisen. Abhilfe schafft das Addon QOS für IPCop [5], das Sie jedoch nur benutzen sollten, wenn Sie mit der grundlegenden Funktionsweise von Quality of Service vertraut sind.

Die Intrusion Detection erreichen Sie über den Menüpunkt DiensteEinbruchsdetektierung. Zur Wahl stehen lediglich die zu überwachenden Netzwerk-Schnittstellen. Ein sinnvolles Feature ist das Update des Regelsatzes auf Knopfdruck. Bedenken Sie, dass die Sensoren von Snort eine nicht unerhebliche Systemlast verursachen können.

Mach auf die Tür

Einige Spiele, Instant Messanger und Filesharing Programme benötigen einen direkten Zugriff von Aussen auf die Rechner, auf denen sie installiert wurden. IPCop stellt unter dem Menüpunkt FirewallPort-Weiterleitung das dafür notwendige Werkzeug zur Verfügung. Das Feld "Quell-Port" gibt an, an welchem Port IPCop die Anfragen von Aussen entgegennimmt, Zieplort-und Adresse, wohin er sie weiterleitet. Der Punkt Firewallexterner Zugang öffnet Ports direkt zum IPCop.

Vertraulich bitte

Die Administrationsoberfläche zum verwalten virtueller Netzwerke finden Sie im Menüpunkt "VPNs". Das Frontend gestattet eine Fülle von Einstellmöglichkeiten für beinahe jeden Zweck. Ein häufig genutztes Szenario ist der "Roadwarrior", also der Zugriff eines einzelnen Rechners auf das VPN. Im Feld "Lokaler VPN Hostname/IP:" geben Sie Ihre öffentliche IP-Adresse ein. Sollten Sie über keine statische verfügen, verwenden Sie alternativ eine DYN-DNS-Adresse (siehe Abschnitt Dynamischer DNS). Klicken Sie auf "hinzufügen" und wählen Sie als Verbindungstyp "Host-zu-Netz". In der folgenden Maske definieren Sie das lokale Subnetz – also den Adressbereich Ihres LANs, welches Sie erreichen möchten. Über die Authentifizierungsmethode "Pre-Shared Schlüssel" legen Sie das Passwort fest, über das dieses VPN zu erreichen ist.

Abbildung 4: Die VPN-Konfiguration bietet für jeden Bedarf das richtige Feature.

Wie gehts?

Der Hauptpunkt Status fast alle Informationen über den aktuellen Zustand des Systems zusammen. StatusSystemstatus informiert über gestartete Dienste, geladene Kernelgemountete und benötigten RAM-Speicher, StatusNetzwerkstatus über die Konfiguration der Netzwerkkarten und Routingtabelle. Über den Punkt StatusSystemdiagramme erreichen Sie eine grafisch aufbereitete Analyse zur Speicher-und CPU-Last. Ein Klick auf die Grafiken schlüsselt die Statistikien zusätzlich nach Woche, Monat und Jahr auf. Ähnlich verhält es sich bei den Netzwerkdiagrammen. IPCop legt für jedes Interface ein Diagramm an, das über eingehenden und ausgehenden Datenverkehr informiert. Aktuell offene Verbindungen ersehen Sie im Punkt StatusVerbindungen.

Zur Analyse der Logdateien stellt IPCop eine Reihe grafischer Frontends zur Verfügung. Diese entschlüsseln die ansonsten eher kryptisch anmutenden Nachrichten auf eine benutzerfreundliches Niveau und geben Auskunft über alle wichtigen Ereignisse. Zur Auslagerung der Logs auf einen externen Logserver auslagern, geben Sie in der Rubrik LogsLogdatei-Einstellungen im Abschnitt Remote Logging die IP-Adresse des Logservers an.

Abbildung 5: Übersichtlich strukturiert präsentiert sich die Logverwaltung.

Addons – Advanced Proxy

Die etwas mickerig geratene Proxy-Konfiguration erweitert Marco Sondermanns Addon Advanced Proxy [6], das auf der Heft-CD enthalten ist. Zur Installation laden Sie das Paket ipcop-advproxy-1.0.6.tar.gz via scp ( scp -P 222 ipcop-advproxy-1.0.6.tar.gz root@<IP-Adresse-Ihres-IPCop>:/root/) auf den IPCop . Loggen Sie sich nun mit ssh auf dem Rechner ein, wechseln Sie in das /root/-Verzeichnis und geben den Befehl tar xfvz ipcop-advproxy-1.0.6.tar.gz ein. Wechseln Sie nun in das neu erstellte Verzeichnis ipcop-advproxy/ und starten Sie das Installationsscript mit dem Aufruf ./install. Die Installation ist damit abgeschlossen. Zur Konfiguration wechseln Sie auf das Webfrontend., wo Sie unter "Dienste" den neuen Unterpunkt "Advanced Proxy" finden. In den allgemeinen Einstellungen legen Sie fest, in welchem Modi der Proxy arbeitet und auf welchem Port er lauscht.

Richtig auf die Sprünge helfen Sie Squid mit der richtigen Einstellung der Cacheverwaltung. Gute Ergebnisse werden mit der Speicher Ersetzungsrichtline : heap GDSF und der Cache Ersetzungsrichtlinie: cheap LFUDA erzielt. Im Offline-Modus liefert Squid gecachte Seiten auch dann aus, wenn diese nicht mehr zu erreichen sind. Zur personenbezogenen Authentifizierung bietet Advanced Proxy unter der Rubrik Authentifizierungsmethode am Ende der Seite verschiedene Einstellungen. Zur Wahl stehen neben der lokalen noch zentrale Authentifizierungsdienste wie LDAP, Windows und RADIUS.

Addons – URL-Filter

Das auf Squid-Guard basierende Addon URL-Filter [7] bietet eine Fülle benutzerfreundlicher Filter-und Sperroptionen für den Squid-Proxy. Die Installation gestaltet sich identisch mit der des Advanced Proxy. Tauschen Sie lediglich den Paketnamen gegen ipcop-urlfilter-1.4.1.tar.gz und verfahren Sie, wie beschrieben.

Nach erfolgreicher Installation finden Sie im Menüpunkt "Dienste" nun die Rubrik "URL-Filter". Die Sperrkategorien legen grundlegend fest, welche Webseiten generell zu filtern sind. Die lokale Dateiumleitung erlaubt Ihnen, häufig gezogene Downloads lokal bereitzustellen um den Traffic zu senken. Die "zeitbasierte Zugriffskontrolle" ermöglicht Ihnen sowohl festzulegen, in welchem Zeitraum der Proxy für bestimmte Hosts erreichbar ist als auch wie lange. Erreicht ein Anwender das festgelegte Zeitlimit, ist der Proxy für diesen bis zur nächsten Erneuerungsperiode gesperrt.

Abbildung 6: URL-Filter erlaubt eine detailierte Reglementierung des webbasierten Internetverkehrs.

Eine gute Wahl?

In aller Regel werkelt der Cop vor sich hin, ohne durch grossartige Allüren auf sich aufmerksam zu machen. Sollte es doch einmal zu Störfällen kommen, steht ihnen eine grosse deutsche IPCop-Community [8] mit Rat und Tat zur Seite.

Dieses Heft als PDF kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare