Überall im Internet lauern Gefahren, die weder vor einem kleinen Heim-LAN noch vor großen Unternehmensnetzen Halt machen. Daher brauchen alle Rechner, die mit dem Internet verbunden sind, eine gut eingestellte Firewall zur Abwehr möglicher Angreifer. Für Heimnetze empfiehlt sich ebenso wie für jene in Unternehmen zur Absicherung eine externe Firewall, die auf einem eigens dafür vorgesehenen Rechner läuft. Hier leistet die freie Firewall-Distribution IPFire [1] gute Dienste: Sie verbindet die Sicherheit und Stabilität des Betriebssystems Linux mit vielen Funktionen und hohem Bedienkomfort.

IPFire kommt als gerade mal rund 78 Megabyte großes ISO-Image und stellt sehr niedrige Hardware-Anforderungen: Die Entwickler geben als minimale Systemvoraussetzungen einen Pentium-Prozessor mit 333 MHz Taktfrequenz an sowie zum schnellen Arbeiten ohne viele Swap-Vorgänge 512 MByte Arbeitsspeicher. Daneben benötigt IPfire 2 GByte freien Speicherplatz auf der Platte, wobei es IDE-, SCSI- und SATA-Schnittstellen unterstützt. Für den Betrieb von IPFire genügt also durchaus auch ein zehn Jahre altes Pentium-III-System. Es muss lediglich über mindestens zwei Netzwerkkarten verfügen: Ein LAN-Interface führt nach außen zum DSL-Anschluss, während die zweite Schnittstelle die Verbindung zum internen Netz herstellt. Die Netzwerkkarten müssen dabei zwingend mindestens 100 Mbit/s Transfergeschwindigkeit bieten. Ältere LAN-Karten mit lediglich 10 Mbit/s maximaler Datentransferrate lassen sich mit IPFire nicht mehr einsetzen, was schon aufgrund der Geschwindigkeit aktueller DSL-Anschlüsse Sinn macht.

Installation

IPFire hält Sie nicht mit umständlichen und langwierigen Installationsarbeiten auf: Die Distribution startet nach dem Booten von CD in einen optisch etwas antiquiert anmutenden Textbildschirm, von dem aus Sie in wenigen Schritten das System auf die Festplatte packen. Sie müssen dabei lediglich Angaben zur Lokalisierung machen und die GPL akzeptieren. Anschließend packt die Routine das komplette System innerhalb weniger Minuten auf die Festplatte.

Nach einem darauf folgenden Warmstart beginnt die Grundkonfiguration: Zunächst legen Sie Passwörter für den Root- und den Administrator-Zugang von IPFire fest. Dann geht es ans Eingemachte, wobei das Konzept der Distribution einem einfachen Prinzip folgt: Auch Anfänger ohne Netzwerkkenntnisse sollen in der Lage sein, die Firewall-Komponenten sinnvoll zu konfigurieren.

Farbenfroh

Um je nach LAN-Konzeption den Überblick zu behalten, benennt IPFire die einzelnen Netzwerk-Schnittstellen mit Farben: Die "rote" Schnittstelle führt stets nach außen in gefährliche Gefilde, also ins Internet. Das "grüne" Interface bezeichnet das meist eher ungefährliche Intranet. Wenn Sie eine DMZ benötigen, nutzen Sie im IPFire-Rechner das "orange" Interface. Realisieren Sie zudem einen WLAN-Zugang, kommt die "blaue" Schnittstelle zum Einsatz.

Zunächst ordnen Sie den einzelnen "Farben" lediglich die physisch im Rechner vorhandene Schnittstellen zu, während sie die zugehörigen IP-Adressen erst später definieren. Üblicherweise erkennt IPFire die im System verbaute Netz-Hardware automatisch – Schwächen offenbarten sich jedoch im Test bei der Unterstützung von WLAN-Karten. Wir konnten mit mehreren in unseren Systemen verbauten drahtlosen Netzwerkkarten der Hersteller Intel und Atheros kein WLAN aufbauen, da IPfire die Karten nicht erkannte.

Sie sollten daher gegebenenfalls vor dem Einrichten des Systems in der Hardware-Kompatibilitätsliste [2] prüfen, ob IPfire die fraglichen Adapter unterstützt. Auch bei der Nutzung von UMTS-Modems kann es Probleme geben: So erkannte IPfire beispielsweise Geräte des Premium-Herstellers Sierra Wireless überhaupt nicht. Bei der Treiberunterstützung für moderne drahtlose Technologien besteht also noch Ergänzungsbedarf.

In den weiteren Schritten ordnen Sie nun IP-Adressen zu und konfigurieren, falls erwünscht, den DHCP-Server. Hierbei gilt es zu beachten, dass Sie die unterschiedlichen Zonen der Netzwerke auch in der Vergabe der IP-Adressen abbilden müssen. Es empfiehlt sich daher, vor der Konfiguration einen Netzplan anzulegen, in den Sie die entsprechenden Adressräume einzeichnen: So behalten Sie anschließend auch bei komplizierten Einstellungen den Überblick. Nach erfolgreicher Konfiguration startet IPFire neu im Textmodus bis zum Login.

Sie können nun die detaillierte Verwaltung des Systems über einen der angeschlossenen Client-Rechner vornehmen, indem Sie sich in einem Webbrowser über die Adresse https://ipfire.localhost:444 oder alternativ https://IPFire-IP:444 auf das Firewall-System aufschalten. IPFire generiert nun ein SSL-Server-Zertifikat und baut nach Bestätigung auf dem Client eine abgesicherte Verbindung zwischen diesem und dem Server auf (Abbildung 1).

Abbildung 1: Die Startseite zeigt lediglich einen kurzen Überblick.

Ergeben sich während des Anmeldens Probleme, können Sie die Grundkonfiguration des IPFire-Systems modifizieren. Dazu wechseln Sie an den IPFire-Rechner und melden sich als User root an. Am Prompt starten Sie anschließend durch Eingabe des Befehls setup das Konfigurationsprogramm und können nun die Netzwerkeinstellungen modifizieren.

Die webbasierte Konfigurationsoberfläche von IPFire gliedert sich in einen großen Anzeigebereich für Informationen und Einstellungen, die das System teils auch grafisch visualisiert, sowie oben horizontal eine Reiterleiste für verschiedene Anpassungen und Monitoring-Optionen. An der rechten Seite des Programmfensters befindet sich jeweils abhängig vom ausgewählten Reiter ein sogenanntes Sidemenu, das detaillierte Einstellungen zulässt.

Profile

Je nach Art des Internet-Zugangs kann es nötig sein, zunächst ein passendes Profil anzulegen. Bei kabelgebundenem Zugang ins Internet über ein DSL-Modem ebenso wie bei Nutzung einer UMTS-Datenkarte müssen Sie zunächst die entsprechenden Einstellungen Ihres Dienste-Anbieters in einem Profil definieren. Dazu öffnen Sie im Reiter System rechts im Sidemenü den Eintrag Einwahl, wählen ein passendes Profil aus und modifizieren es mit Ihren persönlichen Zugangsdaten. Anschließend speichern Sie das modifizierte Profil.

Nutzen Sie für den Internet-Zugang ein DSL-Modem mit integriertem Router, wie es die meisten Provider bei Freischaltung des DSL-Zugangs mitliefern, können Sie auf die entsprechende Profilmodifikation verzichten: Hier genügt es, wenn Sie den Router entsprechend konfigurieren. Auch mobile Zugänge über drahtlose Hotspots benötigen kein eigenes IPFire-Profil.

Multifunktional

Wie die Reiterleiste aufgrund der angebotenen Optionen bereits erkennen lässt, geht die IPFire-Distribution weit über den Funktionsumfang einer herkömmlichen Firewall hinaus. Sie können hier unter anderem auch den Proxy-Server Squid unter der gleichen Oberfläche betreiben und konfigurieren, Snort zur Einbruchserkennung ist ebenfalls in vorkonfigurierter Form mit an Bord. Zu guter Letzt bietet IPFire zusätzlich mit Guardian einen Server-Aufsatz für Snort zum Blockieren von Einbrüchen ins lokale Netz. Guardian, das Sie als Addon über die IPFire-eigene Paketverwaltung Pakfire im Reiter ipfire nachinstallieren, blockt als gefährlich erkannte URLs.

Darüber hinaus bietet IPFire jedoch auch sehr detaillierte Einstellmöglichkeiten für die Firewall, die Sie anhand von Regeln für den ein- wie auch ausgehenden Datenverkehr festlegen. Außerdem lässt sich mithilfe von URL-Sperrlisten der Aufruf bestimmter Webseiten blockieren. Um das Funktionsspektrum zu vervollständigen, dürfen Sie dank des modularen Aufbaus der Distribution weitere unterschiedliche Daemons nachladen: Hier reicht das Spektrum von verschiedenen Virenscannern bis hin zu einem von IPfire gesteuerten Print-Server.

Es empfiehlt sich jedoch, lediglich solche Dienste zu installieren, die Sie auch tatsächlich benötigen und nutzen, und dabei jeden einzelnen Dienst sorgfältig zu konfigurieren. Insbesondere bei größeren Netzen sollten Sie möglichst wenige Dienste auf dem IPFire-System aktivieren, da jeder zusätzliche Server potentiell zusätzliche Angriffsflächen bietet.

Firewall

IPFire basiert auf dem Kernel-Modul Netfilter und dem Regelwerk Iptables. Dadurch bietet die Distribution eine ausgereifte Stateful-Packet-Inspection und beherrscht Routing- sowie Masquerading-Funktionen. Die Firewall passen Sie mithilfe eigener Regeln Ihren individuellen Bedürfnissen an. Sie erreichen die Konfigurationsoptionen über den Reiter firewall oben rechts im Browserfenster.

Im sich nun öffnenden Kontextmenü am rechten Bildschirmrand rufen Sie unterschiedliche Gruppenmenüs auf. Links im Hauptbereich finden Sie zunächst Optionen, um neue Regeln hinzuzufügen, darunter sehen Sie eine leere Tabelle. Um eigene Firewall-Regeln zu entwerfen, sollten Sie sich zunächst mit der Syntax und Funktionsweise von Iptables vertraut gemacht haben [3], da fehlerhafte Regeln schnell zu unerwünschten Ergebnissen führen.

Die im Hauptfenster neu zu definierenden Regeln betreffen lediglich den eingehenden Datenverkehr. In der Voreinstellung verbietet IPFire jeglichen Zugriff von außen auf die im internen Netz befindlichen Rechner und verwirft solche externen Anfragen mithilfe der Drop-Regel. Daher sichert die Firewall bereits ab Werk das Intranet bei eingehenden Verbindungen komplett ab. Wichtiger sind deshalb ausgehende Firewall-Regeln.

Um diese zu bearbeiten, klicken Sie im Reiter ipfire rechts auf den Eintrag Ausgehende Firewall. Sie finden nun drei verschiedene voreingestellte Modi, von denen der erste – Modus 0 – aktiviert ist. Er erlaubt jegliche Form von Kommunikation nach außen, inklusive von Peer-to-Peer-Diensten. Daher können sich bei dieser Einstellung viele Sicherheitsprobleme ergeben, insbesondere dann, wenn hinter der Firewall im Intranet Windows-Rechner laufen. Sie sollten daher den Modus wechseln und können anschließend sehr detailliert nicht nur die Peer-to-Peer-Optionen konfigurieren, sondern finden auch eine stattliche Liste mit bereits vordefinierten Regeln, die Sie per Mausklick dem System hinzufügen.

Um das Regelwerk zu modifizieren, wechseln Sie zunächst durch einen Klick auf das entsprechende Auswahlfeld in den Modus 1 oder Modus 2. Durch einen weiteren Klick auf die Schaltfläche Speichern aktivieren Sie den neuen Modus. Der Modus 1 bietet hier die höchste Sicherheitsstufe, indem er lediglich die explizit im Regelwerk definierten Paketwege und Protokolle freigibt und alle anderen verwirft.

Deshalb können Sie auch ohne eine entsprechende Freigabe sofort nach Aktivierung des Modus 1 nicht mehr auf das Internet zugreifen: IPfire sperrt nun die Ports 80 und 443, welche das HTTP- und HTTPS-Protokoll nutzen. Auch den Port 444 sollten Sie auf der Firewall freischalten, da Sie sonst vom Intranet aus nicht mehr den IPFire-Rechner konfigurieren können. Sie fügen die entsprechenden Freigaben hinzu, indem Sie auf die Schaltfläche Regel hinzufügen oben im Konfigurationsfenster klicken.

Anschließend finden Sie oben in der Anzeige einen Bereich zur manuellen Eingabe einer Regel sowie darunter in der Rubrik quick add die bereits vorgefertigten Regeln. Die jeweilige Regel können Sie in Ihre Tabelle übernehmen, indem Sie rechts in der Liste auf das Bleistift-Symbol klicken (Abbildung 2).

Abbildung 2: Neue Regeln für die Firewall aktivieren Sie per Mausklick.

Die einzelnen Freigaben passen Sie dann Ihren Wünschen gemäß an. So ist es möglich, einzelne Ports nur zu bestimmten Zeiten an definierten Wochentagen freizuschalten, wobei Sie hier bei Bedarf die Freigabe sogar auf einzelne Rechner im Intranet (identifiziert via IP-Adresse) oder Subnetze beschränken. Im direkt unter der Regeltabelle befindlichen p2p-block können Sie zudem durch einen Mausklick auf das jeweilige Häkchen in der Spalte Status den gewünschten Dienst blockieren. IPFire zeigt diese Modifikation durch ein rotes Kreissymbol mit weißem Kreuz darin an.

Versehentlich in die Regelliste aufgenommene Anweisungen löschen Sie durch einen Klick auf das Papierkorb-Symbol rechts in der Spalte Aktion wieder. Insbesondere dann, wenn Sie in DMZ oder Intranet Windows-Rechner einsetzen, müssen Sie mehrere Regeln für Microsoft-spezifische Protokolle aktivieren. Anderenfalls bleiben die zu diesen Protokollen gehörigen Ports geschlossen und die Windows-PCs funktionieren unter Umständen nicht mehr richtig.

URL-Filter

Ein weiteres nützliches Feature stellt der URL-Filter von IPFire dar. Sie erreichen ihn über den Reiter netzwerk und den dortigen Sidemenu-Eintrag URL-Filter. Dabei entpuppt sich der Mechanismus nicht nur als reiner URL-Filter, sondern schon als ausgewachsener Content-Filter: Sie können also nicht nur mithilfe einer weißen und schwarzen Liste Domänen und URLs freigeben oder sperren, sondern obendrein auch Ausdrücke und Dateierweiterungen berücksichtigen (Abbildung 3). Somit lassen sich per Mausklick beispielsweise multimediale Dateien oder Datei-Archive von der Verwendung im Intranet ausschließen.

Abbildung 3: Der URL-Filter beinhaltet auf Wunsch auch eine Filterung von Inhalten.

Für heterogen aufgebaute Netze mit Windows-Clients erscheint zudem die Option nützlich, ausführbare Dateien zu sperren, um Schadsoftware fernzuhalten. Auch IP-Adressen und Zeitkontingente lassen sich hier verwalten, sodass bestimmte Rechner nur zu definierten Zeiten Zugang zum Internet erhalten. Schließlich können Sie bei den URL-Filter-Einstellungen auch noch Sperrseiten anlegen und wahlfrei gestalten, die beim Aufruf einer gesperrten URL am Bildschirm erscheinen.

Terminkalender

Im Menü netzwerkConnection Scheduler bietet IPFire die Option, zu bestimmten Zeiten die Internet-Verbindung zu trennen und neu aufzubauen. Zusätzlich lässt sich IPFire zu bestimmten Zeiten herunterfahren oder automatisch ein Neustart des Systems ausführen. In diesem Einstellungsbildschirm definieren Sie die Optionen nach Wochentagen und der Uhrzeit. Dieser Scheduler ist beispielsweise bei regelmäßig anfallenden Wartungsarbeiten nützlich oder auch dann, wenn Sie in einem Firmen-Intranet den Internet-Zugang an Wochenenden deaktivieren möchten. Die geplanten Aktionen zeigt IPfire dabei in einer übersichtlichen Tabelle im unteren Bereich des Fensters in Listenform an, wo Sie diese auch bearbeiten können.

Protokollarisches

IPFire protokolliert Firewall-Ereignisse, sodass Sie bei Unregelmäßigkeiten die Möglichkeit haben, anhand der Logfiles die einzelnen Pakete zu analysieren und die Firewall anschließend durch neue Regeln zu verbessern. Falls Sie IPFire in einem größeren Intranet betreiben, können sich jedoch schnell sehr umfangreiche und damit unübersichtliche Protokolldaten ansammeln. Daher lassen sich im Reiter firewall in der Option Firewall Optionen einzelne Log-Dienste ab- oder zuschalten.

Um die Protokolle einzusehen, klicken Sie im Reiter logs im Sidemenu auf den gewünschten Dienst. Ist dieser aktiviert und die Log-Funktion eingeschaltet, erhalten Sie nun in Listenform detaillierte Angaben über entsprechende auffällige Vorfälle. Die Quell- und Ziel-IP-Adressen bei protokollierten Ereignissen färbt IPfire dabei rot ein und verlinkt sie (Abbildung 4), sodass Sie diese – falls Sie öffentliche IP-Adressen in den Protokollen vorfinden – sehr schnell durch einen Klick auf den jeweiligen Eintrag die IP-Adresse lokalisieren. Verdächtige Adressen setzen Sie anschließend auf die Sperrliste und unterbinden so eine weitere Kommunikation.

Abbildung 4: Die Log-Funktion klärt über Unregelmäßigkeiten auf.

Status

Falls beim Betrieb des IPFire-Systems Unregelmäßigkeiten auftreten, wie beispielsweise niedrige Transfergeschwindigkeiten beim Zugriff auf Webseiten, so kann das auch auch an eine Überlastung der Hardware liegen. Daher bietet IPFire detaillierte Monitoring-Funktionen, die dank grafischer Aufbereitung die nötigen Informationen auf einen Blick liefern. Sie erreichen die Monitoring-Anzeigen durch einen Klick auf den Reiter status oben links in der Reiterleiste. Dort rufen Sie anhand der einzelnen Kategorien rechts im Sidemenu die gewünschten Informationen ab (Abbildung 5).

Abbildung 5: Aussagekräftige Grafiken spiegeln den Zustand der Firewall wider.

Fazit

IPFire bietet eine gelungene Lösung zur Rundum-Absicherung von Netzwerken jeder Größe. Durch das modulare Konzept mit der distributionseigenen Paketverwaltung Pakfire installieren Sie nach Belieben zusätzliche Dienste, ohne dass dafür aufwendige manuelle Arbeiten nötig würden. Somit geht IPFire weit über den Funktionsumfang einer reinen externen Firewall-Lösung hinaus: Neben diversen zusätzlichen Filterfunktionen können Sie auch einen Proxy-Server oder ein IDS/IPS-System zur Erkennung und Prävention von Einbrüchen integrieren.

Durch die bequeme und einfache Handhabung der Konfiguration über ein webbasiertes Interface und sinnvolle Voreinstellungen lässt sich IPFire auch von weniger versierten Administratoren aus dem Stand handhaben. Trotzdem empfiehlt es sich insbesondere beim Absichern komplexerer Netzwerke mit DMZ-Zonen, solide Kenntnisse der Netfilter/Iptables-Regelmöglichkeiten zu erwerben, um manuelle Einstellungen an der Firewall kompetent vornehmen zu können. Aufgrund der enormen Funktionsvielfalt der Distribution und der damit einhergehenden ebenso detaillierten Konfigurationsmöglichkeiten fällt zudem eine gewisse Einarbeitungsphase an. 

Glossar

DMZ

Demilitarized Zone, "entmilitarisierte Zone". Ein sowohl vom Internet als auch vom LAN per Firefall abgeschirmtes Netz. Aus diesem lassen sich auf sichere Weise Dienste sowohl nach außen als auch nach innen anbieten.

Infos

[1] IPfire: http://www.ipfire.org

[2] Hardware-Kompatibilitätsliste: http://wiki.ipfire.org/de/hardware/networking

[3] Übersicht Iptables: http://developer.gauner.org/doc/iptables/

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Related content

Kommentare