Sheriff fürs Netzwerk

Aus LinuxUser 07/2003

Sheriff fürs Netzwerk

Wenn der IP-Cop wacht

Wenn Sie Ihr kleines Netzwerk schnell, einfach und günstig ins Internet bringen wollen, versuchen Sie es doch mit einer speziellen Linux-Distribution wie IPCop [1]. Es werden 386er und neuere Rechner unterstützt, und der Internet-Zugang kann über Modem, ISDN und DSL erfolgen.

Bevor Sie sich die Mühe machen, einen Rechner mit IPCop auszustatten, wollen Sie sicher wissen, was diese Distribution Ihnen eigentlich bringt.

  • DHCP
  • Intrusion Detection System (IDS) mit Snort 2.0
  • verschlüsselte Terminal-Verbindungen mit SSH
  • VPN mit Super FreeS/Wan 1.99 kb2c
  • Linux-Kernel 2.4.x mit Unterstützung für iptables
  • verbesserte Unterstützung für DSL-Modems, ISDN und analoge Modems
  • übersichliche grafische Darstellung des Netzwerkverkehrs

Vor der Installation

Bevor Sie IPCop installieren, müssen Sie sich ein paar Gedanken über Ihre Netzwerkkonfiguration machen. Es werden drei separate Netzwerke unterschieden. Die Entwickler von IPCop geben dafür drei Farben vor, zwischen denen Sie während der Installation auswählen.

Grün steht dabei für Ihr geschütztes Intranet – alle Pakete, die hierher adressiert sind, werden durch eine Netzwerkkarte der Firewall geschleust. Rot steht für das Internet und Orange für eine DMZ. Das orangefarbene Netzwerk ist optional. Die Verbindung zum Internet kann über ISDN, ein Modem oder eine zweite Netzwerkkarte zum DSL-Modem erfolgen. Entsprechend stehen vier Kombinationen zur Verfügung (Abbildung 1).

Abbildung 1: Netzwerkkonfiguration

Abbildung 1: Netzwerkkonfiguration

Wenn Sie IPCop mit DSL benutzen, dann ist normalerweise die dritte Option die richtige Wahl für Sie. Auch wenn Sie später noch einen Server in einer DMZ hinzufügen wollen, sollten Sie erst mit einer einfachen Konfiguration beginnen und im Erfolgsfall die gewünschten Änderungen vornehmen.

Unabhängig von Ihrer Konfiguration müssen Sie sich auf jeden Fall einige Gedanken über die IP-Adressen Ihres Intranets machen. Am einfachsten ist es, wenn Ihr lokales Netzwerk Adressen aus dem Bereich von 192.168.0.1 bis 192.168.0.254 erhält. So können Sie 254 Rechner in Ihr Netz einbinden. Private IP-Adressen werden von der Firewall in die öffentliche Adresse übersetzt, die Ihre Firewall bei der Einwahl von Ihrem Provider erhält.

Gewöhnlich erhalten Server und Router möglichst niedrige Adressen, so dass 192.168.0.1 eine gute Wahl für die “grüne” Netzwerkschnittstelle ist.

Hardware-Anforderungen

Zum Betrieb einer Firewall mit IPCop benötigen Sie einen ausgedienten PC, auf dem nur die Software der Firewall läuft. Der PC sollte zumindest während der Installation der Software ein CD-ROM- oder Diskettenlaufwerk aufweisen. Auf eine Festplatte können Sie nicht verzichten, es werden mindestens 125 MB und die doppelte Größe des RAM für die Swap-Partition benötigt, mehr kann natürlich nicht schaden.

SCSI-Festplatten werden leider nicht unterstützt. Es gibt Berichte über erfolgreiche Installationen von IPCop mit nur 4 MB RAM. Ab 20 MB sind Sie auf der sicheren Seite. Neben den Zugangsdaten für Ihren Internet-Provider und der entsprechenden Hardware (Modem, ISDN-Karte oder Netwerkkarte fürs DSL-Modem) brauchen Sie eine Netzwerkkarte und ein passendes Kabel, um die Firewall mit Ihrem Netzwerk oder Ihrem Haupt-Rechner zu verbinden.

Wenn Ihr Rechner neu genug ist, um PCI-Karten zu unterstützen, sollten Sie sich für wenig Geld eine PCI-Netzwerkkarte besorgen; der Autor hat gute Erfahrungen mit NE2000-kompatiblen Karten gemacht, die den Realtek-Chipsatz verwenden. Ob Ihre Hardware überhaupt geeignet ist, können Sie unter [3] nachlesen.

Installation

Als Erstes müssen Sie sich das Programm besorgen, derzeit ist die Version 1.3 aktuell. Sie finden ein 22 MB großes ISO-Image auf der Homepage von IPCop [1]. Starten Sie IPCop von Ihrer selbst gebrannten boot-fähigen CD auf dem Ziel-Rechner. Damit der Rechner von der CD startet, müssen Sie gegebenenfalls im BIOS die Boot-Reihenfolge ändern.

Haben Sie einen PC mit dem weit verbreiteten BIOS von Asus, drücken Sie die [Entf]-Taste während des Startvorgangs und navigieren mit Hilfe der Leertaste durch das BIOS. Werte verändern Sie mit den [Bild rauf]- und [Bild runter]-Tasten. Die Frage Save values and exit? muss mit Drücken von [z] bestätigt werden. Falls Ihr Rechner nicht von CD booten kann, müssen Sie eine Boot-Diskette erstellen. Eine Anleitung dazu finden Sie unter [2].

Zuerst werden Sie von einem Willkommensbildschirm begrüßt und gewarnt, dass bei der Installation alle Daten auf der Festplatte gelöscht werden. Wenn Sie sicher sind, dass keine wichtigen Daten mehr vorhanden sind, ignorieren Sie die Warnung beherzt und lassen der Installation ihren Lauf.

Wählen Sie die gewünschte Sprache aus und entscheiden Sie sich für die Installation von CD. IPCop kopiert die Software-Pakete auf die Festplatte, und nach kurzer Zeit können Sie mit den ersten Einstellungen Ihrer Firewall beginnen. Vergeben Sie die IP-Adresse für das “grüne” Netzwerk, für die Sie sich entschieden haben. Im Beispiel ist das die 192.168.0.1.

Wenn Sie später diese Adresse in einem Browser als 192.168.0.1:81 (also mit Port 81) aufrufen, können Sie die wichtigsten Einstellungen von einem anderen Rechner aus vornehmen. Haben Sie hier einen Fehler gemacht oder wurde Ihre Netzwerkkarte nicht richtig erkannt, müssen Sie sich noch mal an Ihren Firewall-Rechner begeben, um die Fehler zu beseitigen. In einem solchen Fall loggen Sie sich als Benutzer setup mit dem von Ihnen vergebenen Passwort ein, und Sie erhalten eine übersichtliche Maske mit den möglichen Konfigurationsoptionen.

Abbildung 2: Auswahlmöglichkeiten für den Benutzer "setup"

Abbildung 2: Auswahlmöglichkeiten für den Benutzer “setup”

Vor den Neustart haben die Unix-Götter noch weitere Einstellungen gesetzt. So werden Sie noch aufgefordert, die Installationsmedien zu entfernen und Ihren Tastaturtyp anzugeben. Normalerweise ist das de-latin1-nodeadkeys. Jetzt fehlen noch die Zeitzone, (zum Beispiel Europe/Berlin) und der Hostname Ihres Rechners. Sie können die Vorgabe ipcop gefahrlos übernehmen.

Auf Ihrem Rechner werden drei Benutzer angelegt. Jeder erhält ein eigenes Passwort und eigene Rechte auf der Firewall. Als Benutzer admin können Sie sich nur remote einloggen, root und setup können sich nur lokal am Gateway anmelden. So können etwa Eltern ihren Kindern das Passwort für admin verraten, Einstellungen an der Firewall können diese aber damit noch nicht vornehmen.

Die nächsten Eingaben können Sie direkt an der Firewall vornehmen; alternativ starten Sie den Rechner erneut und konfigurieren über das Web-Interface weiter.

Abbildung 3: Die wichtigsten Angaben zur Einwahl ins Internet

Abbildung 3: Die wichtigsten Angaben zur Einwahl ins Internet

Vertrauen ist gut

Der Vorteil einer Distribution wie IPCop liegt in ihrer Fernbedienbarkeit. Sie können sich per SSH einloggen, wobei der SSH-Daemon bei der IPCop-Distribution auf Port 222 auf Verbindungen wartet. Ergänzend steht das Web-Interface für den Rechner zur Verfügung. Als Adresse geben Sie die IP-Adresse Ihrer Firewall und den Port 81 für http oder Port 445 für https ein. Wenn Sie nicht jedes Mal die IP-Adresse eintippen wollen, müssen Sie die Datei /etc/hosts auf dem Rechner ändern, von dem Sie mit dem Browser auf die Firewall zugreifen und dort die Daten eintragen.

Zuerst müssen Sie sich mit dem Benutzernamen admin und dem von Ihnen vergebenen Passwort auf Ihrer Firewall einloggen. Damit der Sheriff seine Arbeit verrichten kann und Ihr Netzwerk ans Internet anschließt, braucht er einige Angaben. Ohne den Benutzernamen und das Passwort für Ihren Provider läuft gar nichts.

Wenn Sie mehrere Provider oder mehrere Zugangsarten verwenden, können Sie dafür unterschiedliche Profile definieren. Abbildung 2 zeigt die nötigen Einstellungen für T-DSL. Wenn Sie die Verbindung ins Internet nicht selbst aufbauen wollen, müssen Sie einen Haken vor die Option “Dial-On-Demand-Modus” setzen, oder Sie lassen die Verbindung gleich beim Start der Firewall herstellen – das empfiehlt sich für Inhaber einer Flatrate. Nach Ablauf der “Leerlauf-Wartezeit” trennt IPCop die Verbindung ins Internet.

Im Bereich Telefonnummer können Sie die übrigen Vorgaben übernehmen, für den Betrieb mit T-DSL schaden sie nicht, und wenn Sie ein Modem verwenden, sind die Vorschläge sinnvoll. In diesem Fall fehlt noch die Telefonnumer des Providers, die Nutzer von DSL nicht benötigen. Die Bereiche Zusätzliche PPPOE-Einstellungen und Zusätzliche PCI ADSL-Einstellungen müssen Sie im Normalfall nicht beachten.

Der DSL-Benutzername setzt sich für T-Online-Kunden wie folgt zusammen: 

Anschlusskennung - 000925837867
 Zugehörige T-Online-Nummer - 53001444882220
 Mitbenutzernummer/Suffix - 0001

Fügen Sie die Zahlen in der Reihenfolge Anschlusskennung/T-Online-Nummer/Suffix zusammen und hängen sie noch ein @t-online.de an. Anschließend können Sie die Verbindung mit dem Internet herstellen.

Anwender mit Modem oder ISDN-Karte geben den vom Provider bereit gestellten Benutzernamen und das Passwort sowie die korrekte Telefonnummer ein.

Kontrolle ist besser

Bei Bedarf verrät Ihnen Snort, welche Rechner versucht haben, mit Ihrem PC in Kontakt zu treten, und welche Bedrohung diese Versuche darstellen. Nicht jeder Verbindungsversuch stellt einen versuchten Einbruch dar.

Viele Alarmmeldungen werden von falsch konfigurierten Rechnern ausgelöst. Unter dem Menüeintrag Logs können sie auch überprüfen, wie lang Ihr Netz mit dem Internet verbunden gewesen ist, welche Datenmengen dabei übertragen wurden oder welcher Rechner gerade auf welche Seite im Internet zugreift.

Natürlich können Sie sich auch die normalen Statusinformationen anzeigen lassen, die auf Linux-Rechnern üblich sind. So können Sie Ihre Uptime – also die Betriebszeit seit dem letzten Reboot – ansehen, Warnungen des Kernels wahrnehmen oder die mysteriösen Meldungen des pppd missachten.

Abbildung 4: Wer klopft an meine Tür?

Abbildung 4: Wer klopft an meine Tür?

Gateway ins Internet

Sie haben IPCop endlich erfolgreich eingerichtet und wollen mit seiner Hilfe ins Internet. Auf Rechnern mit Linux oder anderen Unix-ähnlichen Betriebssystemen müssen Sie dazu den IPCop-Rechner als Gateway eintragen. Benutzen Sie als root das grafische Tool für die Netzwerkeinstellungen oder editieren Sie per Hand die Datei /etc/gateways.

Falls Sie von einem Rechner aus keine Server im Internet unter ihrem Namen wie http://www.linux-user.de erreichen, aber die Eingabe der IP-Adresse das gewünschte Ergebnis bringt, fehlt dem PC die Information über den nächsten DNS-Server. Die Datei /etc/resolv.conf darf nur den Eintrag nameserver 192.168.0.1 enthalten, vorausgesetzt der IPCop-PC hat diese Adresse erhalten.

Wenn Sie auch Rechner mit Windows in Ihrem Netzwerk betreiben, brauchen diese ebenfalls die Informationen über DNS und das so genannte “Standard-Gateway im Remote-Netzwerk”. Am einfachsten ist es, den Clients die Informationen bereitszustellen, indem Sie dort DHCP aktivieren.

Nähere Informationen zur Netzwerkkonfiguration von Windows finden Sie unter [4]. Auf Ihrer Firewall starten Sie DHCP unter dem Menüeintrag Dienste. Sie müssen lediglich eine Start- und eine Endadresse für den Adress-Pool festlegen, aus dem Ihre Rechner dann bedient werden. Für unser Beispielnetzwerk wären das 192.168.0.2 und 192.168.0.254. Als DNS-Server geben Sie die IP-Adresse der Firewall an.

Weitere Software

Neben der bereits genannten Software enthält IPCop den Proxy-Server Squid, die nötige Software zum Einrichten virtueller privater Netzwerke, vorkonfigurierte Skripte z. B. zur Nutzung von DynDNS und noch vieles mehr. An dieser Stelle würde eine Anleitung dafür zu weit führen.

Wenn Sie sich weiter mit diesen Themen beschäftigen wollen, schauen Sie doch auf der IPCop-Homepage [1] vorbei, stöbern in den FAQ [6] oder unterhalten sich im IRC [8] direkt mit den Entwicklern, nachdem Sie die Dokumentation gelesen haben.

Fazit

IPCop ist eine Router-/Firewall-Distribution unter vielen, bietet aber mehr Extras als die meisten anderen. Wenn Sie sich ausgiebig mit Linux beschäftigt haben, können Sie auch Ihre eigene Firewall einrichten, indem Sie Debian installieren und nicht benötigte Dienste und Software deinstallieren, selbst die Regeln für das Filtern des Netzwerkverkehrs aufstellen und Ihre Software aktualisieren.

Ist Ihnen das zu viel Arbeit, ist IPCop die richtige Wahl. Die Installation verläuft im Allgemeinen problemlos, Updates sind einfach zu installieren, und die Bedienung über das Web-Interface ist komfortabel. Sollten Probleme auftauchen, erhalten Sie kompetente Hilfe über die Mailing-Liste [5].

Glossar

Intrusion Detection System (IDS)

Ein IDS stellt eine zweite Verteidigungslinie gleich hinter der Firewall auf. Es durchsucht den Netzwerkverkehr auf Paketebene nach verdächtigen Mustern, die vielleicht auf einen Angriff auf oder Einbruchsversuch in das Netzwerk hindeuten. Diese verdächtigen Muster werden durch ein Regelwerk spezifiziert. Wann immer das IDS ein Muster sieht das einer Regel entspricht, wird in die Log-Datei /var/log/messages ein entsprechender Eintrag geschrieben. Ein IDS blockiert nicht wie die Firewall den Verkehr, es alarmiert vielmehr Systemadministratoren, wenn potentiell feindlicher Verkehr entdeckt wird.

VPN

Virtual Private Network. Mit einem VPN wird ein Netzwerk aufgebaut. Die Rechner sind über eine Strecke verbunden, die als Tunnel durch ein unsicheres Netzwerksegment wie das Internet funktioniert. Sie können vertrauliche Daten austauschen, da der Netzwerkverkehr innerhalb des VPN verschlüsselt wird.

DMZ

Eine DMZ (“demilitarisierte Zone”) ist ein Netzwerk, auf das vom Internet aus zugegriffen werden kann und das keine direkte Verbindung zum “grünen” Intranet hat. Erlauben Sie den Zugriff auf einen Web-Server im “grünen” Netz vom Internet aus, wird die Sicherheit unnötig aufs Spiel gesetzt. Ein Bug in der Software des Servers kann Angreifern Tür und Tor zu Ihren Rechnern öffnen.

Private IP-Adressen

Für Rechner, die nicht direkt mit dem Internet verbunden sind, werden in RFC 1918 private IP-Adressen reserviert. Weitere Informationen finden Sie unter [2] im Anhang A.2.

ISO-Image

Das Abbild einer kompletten CD als Datei. Aus dem Image erstellt ein CD-Brennprogrammen wie cdrecord für die Kommandozeile oder xcdroast die entsprechende CD.

Infos

[1] IPCop Homepage: http://www.ipcop.org

[2] IPCop Installationsanleitung: http://www.ipcop.org/1.3.0/en/install/html/

[3] IPCop Hardware Compatibility List: http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopHCLv01

[4] Netzwerke unter Windows. http://www.windows-netzwerke.de/

[5] Informationen zur IPCop Mailingliste: https://lists.sourceforge.net/lists/listinfo/ipcop-user/

[6] FAQ zu IPCop: http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQde

[7] Verzeichnis der erhältlichen Dokumentation: http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopDocumentationv01

[8] IPCop IRC: irc.openprojects.net channel: #ipcop @KE:

Der Autor

Thomas Zell beschäftigt sich seit fünf Jahren mit Linux und Unix und hat schon verschiedene Distributionen für seine Firewall ausprobiert.

LinuxUser 07/2003 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Ähnliche Artikel

Heft-DVD 06/2026

Neues auf der Heft-DVD

Thomas Leichtenstern

Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie topaktuelle Distributionen zum Ausprobieren, aber auch für den Produktiveinsatz.

Hilfreiche Artikelelemente im Detail erklärt

README

Jörg Luther

In jedem Artikel in diesem Heft liefert eine Reihe spezieller Textauszeichnungen und hilfreicher grafischer Elemente wichtige Zusatzinformationen zum Text.

Grafische Frontends mit wxPython programmieren

Heiße Oberfläche

Markus Hoffmann

Python bringt in der Standardbibliothek Tkinter mit, ein Tool für die GUI-Entwicklung. Allerdings stört dessen etwas altbackenes Erscheinungsbild. wxPython verspricht einen moderneren Look.

Secure Boot verstehen und einrichten

Umstrittene Sicherheit

Ferdinand Thommes

Secure Boot bleibt unter Linux ein zweischneidiges Schwert – meist mit eingebauter Abhängigkeit von Microsoft.

Ghostty: Ein moderner Terminalemulator für Linux mit klarer Vision

Terminal de luxe

Christoph Langner

Der moderne Terminalemulator Ghostty punktet mit GTK4-Integration und Features wie Tabs, Splits und Kitty-Grafik.

E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben