Home / LinuxUser / 2008 / 10 / Abwehrmaßnahmen

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

War doch klar...
(243 Punkte bei 15 Stimmen)
Re: War doch klar...
(179 Punkte bei 5 Stimmen)
Re: Skype für 64-Bit-Prozessor u. Suse 12.1
(161 Punkte bei 4 Stimmen)
Kubuntu verliert Finanzierung
(130 Punkte bei 4 Stimmen)
Offen fürs Geschäft
(80 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Shopping
Topsuche
 
Yatego Deutschlands größte Shoppingmall. 10000 Shops,
3.5 Mio Artikel. Alle Bestseller, Servertechnik und Technik Themenwelten.

Notebooks und Netzwerkhardware bei Mercateo günstig kaufen.
Internet Telefonie mit VoIP Telefonen von Gigaset
Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.
Günstige Digitalkameras finden Sie im Preisvergleich.

Abwehrmaßnahmen

Lokale Netze mit Gibraltar schützen

Proxy und mehr

Experten wissen: Das Filtern des Datenverkehrs auf Netzwerkebene stellt nur den ersten Schritt auf dem Weg zum sicheren Netz dar. Mindestens genauso wichtig ist es, den ein- und ausgehenden Datenstrom auf Applikationsebene zu überprüfen. Zu diesem Zweck verfügt Gibraltar über eine Reihe von Proxy-Diensten, die in der Lage sind, die wichtigsten Protokolle zu überwachen.

Zwar erlaubt die Konfigurationsoberfläche des HTTP-Proxy-Servers das Blockieren potenziell gefährlicher Inhalte wie ActiveX, Javaskript oder Cookies, allerdings nur ganz oder gar nicht. Eine Differenzierung ist nicht möglich. Da viele Webseiten nach dem Ausfiltern solcher Elemente nicht mehr funktionieren, erweist sich dieses Feature in der Praxis relativ nutzlos. Zwar findet sich der in dieser Hinsicht deutlich bessere Content-Filter Privoxy [2] auf dem System, ist aber nicht in die Webkonfiguration eingebunden.

Zum Schutz der Anwender vor anstößigen Webseiteninhalten verfügt Gibraltar über ein kostenpflichtiges Parental-Control-Modul namens Puresight. Es erlaubt das Blockieren von Inhalten, die in Verbindung mit Erotik, Glückspiel oder Drogen stehen. In der Basisvariante blockiert der Filter nur komplette Kategorien, erst die Enterprise-Edition erlaubt ein feineres Granulieren. Eine 30-tägige Testlizenz fordern Sie per E-Mail über office@gibraltar.at an. Warum Gibraltar allerdings nicht den durchaus leistungsfähigen und kostenfreien Content-Filter Squidguard [3] als Alternative im Webinterface anbietet, obwohl er bereits auf dem System installiert ist, bleibt unklar.

Als Königsdisziplin für Firewalls gilt jedoch das Filtern von Viren, Würmern und Malware. Zu diesem Zweck integriert Gibraltar den leistungsfähigen, aber kostenpflichtigen Virenscanner von Kaspersky in den Proxy. Tests ergaben, dass es beim Seitenaufbau kaum zu Verzögerungen kommt und Kasperskys Scanner die Systemressourcen des Routers nur wenig in Anspruch nimmt. Eine Ein-Jahres-Lizenz des Virenfilters kostet für ein Netzwerkgerät 30 Euro, für drei rund 61 Euro und für fünf 102 Euro. Der Scanner arbeitet dann im Verbund mit dem Web- und FTP-Proxy sowie dem SMTP- und POP3-Relay. Ebenfalls auf dem System installiert ist zwar die kostenfreie Variante Clamav [4] – auch hier fehlt aber wieder eine Verknüpfung auf der Konfigurationsoberfläche.

Ein weiteres Highlight von Gibraltar stellt das Mail-Relay. Es verfügt über eine Vielzahl von Filtermechanismen, die den Empfänger vor unerwünschten Mails schützen. So sorgt das Ablehnen von Mails mit Anhängen bestimmter Dateitypen (etwa PIF oder EXE) dafür, dass keine ausführbaren und damit gefährlichen Inhalte im Mailkonto landen. Während Kasperskys Scanner Viren und Würmer aussortiert, kontrolliert Amavis die eingehenden Nachrichten nach Spam. Die Einstellungen erlauben sowohl das Einbinden so genannter RBL-Listen als auch das Verwenden eines selbstlernenden Bayes-Filters.

Abbildung 3: Der Mail-Filter von Gibraltar erlaubt Ihnen, empfangene Nachrichten auf vielfältige Weise nach unerwünschten Anhängen, Viren und Spam zu untersuchen.

Da Gibraltar lediglich als Relay arbeitet, setzt das Benutzen dieses Diensts unter anderem einen Mailserver im internen Netz voraus. Darüber hinaus benötigen Sie eine eigene Maildomäne sowie einen DNS-Eintrag, der auf Gibraltar als Mailserver zeigt. Verwenden Sie den Mail-Server eines externen Anbieters wie GMX oder Google, verwenden Sie stattdessen den POP3-Proxy, der auch über einen Spam- und Virenfilter verfügt. Ein Socks-Proxy fehlt Gibraltar bislang noch. Er würde weitere Anwendungen, etwa IRC-Clients, unterstützen.

Traffic Shaping verhindert wirkungsvoll, dass ein Benutzer etwa durch einen Download das ganze Netz lahm legt. Gibraltar verfügt zum Einrichten dieses Bandbreitenmanagements über eine ausgeklügelte Konfigurationsoberfläche, die allerdings einer gewissen Einarbeitungszeit bedarf. Der Aufbau untergliedert sich sich nach Klassen, Klassengruppen und Regeln. Eine detaillierte Beschreibung finden Sie im Gibraltar-Handbuch ab Seite 139. Um das System korrekt zu konfigurieren, bedarf es grundlegender Kenntnisse über die Funktionsweise von Traffic Shaping, die das Handbuch nicht vermittelt. Hier hilft der auf der Heft-DVD enthaltene Artikel " Vordrängler" [5] aus dem Linux-Magazin weiter.

Alles unter Kontrolle

Um den Status des Systems abzufragen, verfügt Gibraltar über einen Monitoring-Dienst, den Sie unter Dienste starten. Da dieser Daten auf der Festplatte speichert, gilt es jedoch zuvor, eine solche ins System einzubinden. Die Kategorie Monitoring fasst alle grafisch aufbereiteten Anzeigen, etwa System oder Netzwerkkarten zusammen.

Die Logdateien sehen Sie in der Kategorie System unter Systemlog ein. Anders als beispielsweise IPCop verzichtet Gibraltar auf das Aufbereiten der Daten, was das Lesen deutlich erschwert. Um Angriffe auf das Netz zu erkennen, verwendet die Firewall das altbewährte Intrusion Detection System Snort. Damit der Dienst den jeweils aktuellen Regelsatz des Vulnerability Research Teams herunterladen kann, gilt es zunächst, dort [6] einen Account zu erstellen. Den übermittelten Oink-Code fügen Sie dann in das dafür vorgesehene Feld der Web-GUI ein.

Als Standardausgabe verwendet Snort das eher unübersichtliche Systemlog. Eine grafische Oberfläche, welche die Ereignisse aufbereitet anzeigt, fehlt. Alternativ wählen Sie als Ausgabeziel eine externe Datenbank oder informieren den Admin via Mail von besonderen Ereignissen. Diese Möglichkeiten finden sicherlich im Unternehmen Anklang, für den Heimanwender sind sie eher unpraktisch.

Einem Freund empfehlen    Druckansicht Bookmark and Share
Kommentare

Hits
Wertung: 157 Punkte (22 Stimmen)

Schlecht Gut

Infos zum Autor

Thomas Leichtenstern

Thomas Leichtenstern

CD/DVD-Redakteur


Infos zur Publikation

Infos zur Publikation

LinuxUser 03/2012

Aktuelle Ausgabe kaufen:

Heft bestellen Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,50 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 56,10) können Sie im LNM-Shop bestellen.

Tipp der Woche

Duden Korrektor unter 64-Bit
Duden Korrektor unter 64-Bit
Tim Schürmann, 06.02.2012 10:36, 0 Kommentare

Der Duden Korrektor bietet eine äußerst nützliche Rechtschreib- und Grammatikkorrektur für LibreOffice und bringt in der aktuellen Version 8 e...

Aktuelle Fragen

N24 Stick (Huawei E173) und Ubuntu 11.04
Patrick Obenauer, 11.02.2012 11:54, 1 Antworten
Hallo zusammen! Ich benutze einen alten Laptop, der mit Ubuntu 11.04 flott und problemlos läuft....
Wie kann man beim Einsatz von Compiz die Fenster-Dekoration einstellen?
GoaSkin , 10.02.2012 20:12, 0 Antworten
Hallo, ich nutze Linux Mint mit dem Gnome-Derivat Mate. Da die Distribution Compiz nicht autom...
rndc reload zone - failed bad zone
Ludwig jun. B., 06.02.2012 16:08, 2 Antworten
Schönen guten Tag, ich habe folgendes Problem. Immer wenn ich folgendes Kommando ausführen bek...
Skype für 64-Bit-Prozessor u. Suse 12.1
Klaus Sigerist, 05.02.2012 11:39, 3 Antworten
Hallo Gemeinde! Ich bin nur ein einfacher Nutzer und habe Probleme mit der Installation von Skyp...
8! Anfängerfrage :) Wie finde ich in Ubuntu die Datenträger (Bild, Text)
samuel leusam, 04.02.2012 15:53, 2 Antworten
Ich habe neu Ubuntu. Wenn ich die SD Karte im Laptop einstecke, erkennt er sie und gibt ihr den N...