Mit Smoothwall machen Sie aus Ihrem ausgedienten Rechner im Handumdrehen einen vollwertigen Firewall-Router und Application Level Gateway mit allen Schikanen.

Wer hat nicht schon von ihnen gehört: Botnets. Sie bestehen aus Millionen gekaperter PCs und sind ein Riesengeschäft für die Betreiber, die damit Spam versenden oder gegen Bezahlung Rechner oder ganze Netzwerke lahmlegen. Vincent G. Cerf, der “Vater des Internets”, ist sich sicher, dass ein Viertel aller PCs ungewollt Mitglied solcher Botnets sind [1].

Und das, obwohl bereits einfachste Mittel ausreichen, um den Rechner vor solchen Gefahren zu schützen: Router verhindern wirkungsvoll den direkten Zugriff vom Internet auf den Rechner, und stellen damit für diese Art von Angriffen eine beinahe unüberwindliche Hürde dar. Der Firewall-Router Smoothwall Express 3.0 [2] bietet nicht nur eine einfach zu bedienende Benutzeroberfläche zur Installation und Konfiguration, sondern verfügt über Funktionen, die beinahe alle Hardware-Router in der unteren Preiskategorie bei weitem übertreffen.

Als weitere Distributionen finden Sie auf der Heft-CD die beiden Mini-Distributionen Damn Small Linux 4.0 RC1 [3] sowie Puppy Linux 2.17.1 [4]. Der Kasten “Puppy Linux und DSL” sowie ein Artikel ab Seite 34 bieten zu beiden nähere Informationen.

Puppy Linux und DSL

Die beiden Protagonisten unter den Mini-Distributionen geben sich auf der CD ein Stelldichein. Während Puppy Linux mit einer Fülle von Applikationen auf kleinstem Raum glänzt, die sowohl den Office-Anwender als auch den Multimediafreak zufriedenstellen, beschränkt sich Damn Small Linux (Abbildung 1) auf das absolute Minimum und läuft damit auch auf der ältesten Gurke problemlos. Beide erfordern minimal eine P90-CPU sowie 64 MByte Arbeitsspeicher. Da sie von CD starten, benötigt der Rechner keine Festplatte.

Abbildung 1: Das auf Performance getrimmte Damn Small Linux benötigt nur ein absolutes Minimum an Hardware.

Smoothwall Express 3.0

Im Juli 2000 gründeten Richard Morell und Lawrence Manning das Smoothwall-Projekt, als dessen Fork ein Jahr später Ipcop entstand. Zielsetzung des Projektes ist es, dem Anwender einen möglichst einfach zu handhabenden Firewall-Router an die Hand zu geben, der den Sicherheitsansprüchen eines kleinen bis mittleren Netzwerks genügt.

Als minimale Hardwarevoraussetzung gilt eine 200-MHz-CPU, 128 MByte Hauptspeicher, eine 2-GByte-Festplatte sowie zwei Netzwerkanschlüsse. Verwenden Sie den Router auch als IDS und Proxy-Server, sollte er jedoch mindestens eine 1-GHz-CPU und 256 MByte Arbeitsspeicher mitbringen.

Features

Die aktuelle Version 3.0 der Firewall, die mit Kernel 2.6.16.53 arbeitet, hat im Vergleich zum Vorgänger einige gravierende Veränderungen erfahren. So schützt in der aktuellen Version ein POP3-Proxy vor E-Mails mit virusinfizierten Anhängen. Das Bandbreitenmanagement sorgt auch bei hohem Verkehrsaufkommen dafür, dass wichtige Services wie DNS oder Voice over IP reibungslos laufen. Weiterhin spendierten die Entwickler der Firewall einen Proxy-Support für Instant Messenger wie MSN, IQC oder AOL.

Anders als Software-Router wie Fli4l oder Ipcop verfolgt Smoothwall keine modularisierte Lösung, die aus einem schlanken Kern besteht, um den Sie die benötigten Features nachinstallieren, sondern bietet alle Features in einem Guss.

Während der integrierte, auf Wunsch auch transparente, SIP-Proxy das Telefonieren via VoIP mit dem Standardprotokoll erlaubt, ermöglicht der passwortgeschützte Webproxy das Reglementieren des Internetzugangs. Verbunden mit der zeitgesteuerten Zugriffskontrolle legen Sie effektiv fest, wer wann ins Internet darf. Damit die Zeit immer stimmt, erlaubt der Server die Synchronisation über fremde Timeserver und fungiert bei Bedarf selbst als solcher.

Beinahe zur Grundausstattung gehört inzwischen der DHCP-Server, der alle Clients im LAN mit IP-Adressen und Zusatzinformationen wie DNS und Default-Gateway versorgt. Gar nicht so selbstverständlich ist hingegen der integrierte Traffic-Shaper (QoS), der dafür sorgt, dass wichtige Verbindungen, beispielsweise Telefongespräche via VoIP, auch bei hoher Auslastung der Bandbreite nicht “absaufen”.

Über den Echtzeit-Traffic-Monitor sehen Sie stets den aktuellen Datenverkehr auf den verschiedenen Netzwerkkarten und wer oder was ihn verursacht. Ebenso einfach wie der Rest gestaltet sich das Konfigurieren des Paketfilters, mit dem Sie sowohl ein- als auch ausgehende Verbindungen reglementieren. Um Einbrüche zu erkennen und ihnen vorzubeugen enthält Smoothwall die Intrusion-Detection-Software Snort [5]. Da diese Software allerdings seit einiger Zeit ohne das benötigte Ruleset ausgeliefert wird, gilt es, sich zunächst auf der Webseite von Snort zu registrieren, und danach die benötigten Sets einzuspielen.

Des weiteren verfügt die Distribution über einen auf IPSec basierenden VPN-Server sowie eine Konfigurationsoberfläche zum Verwalten dynamischer Hostnamnen wie dyndns.org.

Installation

Um die Installation zu starten, wählen Sie aus dem Bootmenü den ersten Punkt Smoothwall Express 3.0 installieren und bestätigen die Auswahl mit [Eingabe]. Akzeptieren sie die folgenden Abfragen und Hinweise jeweils mit OK. Beachten Sie: Smoothwall eignet sich nicht als Zweitsystem auf einem Rechner und beansprucht deshalb stets den kompletten Festplattenspeicher für sich. Darauf enthaltene Daten gehen verloren.

Als ersten Arbeitsschritt partitioniert der englischsprachige Installer die Festplatte neu und überspielt danach die Software. Nach dem Bestätigen des abschließenden Hinweises erscheint das Setup, in dem Sie zuerst das Tastaturlayout (de-latin-nodeadkey) festlegen, gefolgt vom gewünschten Hostnamen. Im nächsten Fenster (Abbildung 2) legen Sie die Grundeinstellung für ausgehende Verbindungen fest. Sie wählen dabei zwischen den Sicherheitsleveln

• open – alle ausgehenden Verbindungen sind erlaubt
• half-open – ausgehende Verbindungen sind nur eingeschränkt möglich
• closed – keine ausgehenden Verbindungen möglich

Eine eindeutige Erklärung oder Hilfestellung, welche Verbindungen half-open verbietet, fehlt. Danach öffnet sich die Auswahlliste der Netzwerkkonfiguration.

setup in der Konsole startet die Konfigurationsoberfläche auch nach der Installation.” width=”300″ height=”219″ /> Abbildung 2: Bereits bei der Installation legen Sie fest, ob ein ausgehender Kontakt erlaubt ist, oder nicht. Der Aufruf setup in der Konsole startet die Konfigurationsoberfläche auch nach der Installation.

Über den ersten Eintrag, Network configuration type, stellen Sie ein, welche Netze der Router verbinden soll (beispielsweise LAN/LAN, LAN/ISDN, WLAN/LAN etc.). Den verschiedenen Anschlüssen ordnet Smoothwall Farben zu. So steht Grün immer für das interne und Rot immer für das externe Netz. Benutzer von DSL verwenden die Kombination Green + Red und wählen im Punkt Adress settings für das rote Interface PPPOE. Die detaillierten Verbindungseinstellungen erfolgen über das Webfrontend (siehe Konfiguration). Zu guter Letzt legen Sie über DNS and Gateway settings den Nameserver und das Default-Gateway fest. Bei einer dynamischen Einwahl via DSL oder Modem ist dieser Eintrag nicht erforderlich, da der Provider die richtigen Daten beim Login übermittelt. Der erste Eintrag (Web Proxy) des folgenden Menüs erlaubt es Ihnen, festzulegen, über welchen Proxy-Server Smoothwall zukünftig Updates herunterladen soll.

Sie schließen das Setup mit der Eingabe des Admin- und Root-Passworts ab. Während Sie den Admin-Account benutzen, um sich an der Weboberfläche anzumelden, verwenden Sie Root für das Login an der Konsole. Um die festgelegten Einstellungen zu verändern, rufen Sie nach dem Reboot setup in der Konsole auf. Wie Sie remote darauf zugreifen, erklärt der Kasten “Remote auf die Konsole”.

Remote auf die Konsole

Nach der Installation verschwindet der Firewall-Router bei vielen Anwendern ohne Monitor, Tastatur oder gar Maus im stillen Kämmerlein. Damit Sie sich trotzdem noch an der Konsole anmelden können, um beispielsweise das Setup auszuführen, gilt es zunächst, den SSH-Zugang im Webfrontent unter Services | remote access freizuschalten.

Danach loggen Sie sich über das Terminal mit ssh root@Smoothwall-IP-Adresse -p 222 auf dem Rechner ein. Alternativ verwenden Sie die im Webfrontend integrierte Java-Shell (Abbildung 3), die Sie über Tools | shell erreichen.

setup einige Darstellungsfehler.” width=”300″ height=”289″ /> Abbildung 3: Das in der Weboberfläche integrierte Java-Applet erlaubt den Shellzugriff auf Smoothwall – zeigt jedoch beim Aufruf von setup einige Darstellungsfehler.

Smoothwall verschickt beim ersten Kontakt in das Internet Daten an den Heimatserver. Nach Angaben der Hersteller handelt es sich dabei jedoch ausschließlich um technische Informationen wie Speicher- und Plattengröße sowie Tag der Installation und verwendete Version. Einen Einfluss auf dieses Verhalten hat der Anwender jedoch nicht.

Konfiguration

Um Smoothwall zu konfigurieren, melden Sie sich über http://Smoothwall-IP-Adresse:81 oder https://Smoothwall-IP-Adresse:444als admin an der Verwaltungsoberfläche des Routers an. Die nur in englischer Sprache vorliegende Verwaltungsoberfläche beitet ein horizontales Menü am oberen Bildschirmrand. Fahren Sie mit der Maus darüber, so öffnet sich zu jedem Eintrag ein Dropdownmenü, das die Unterpunkte der jeweiligen Rubrik aufführt (Abbildung 4).

Abbildung 4: Die übersichtlich strukturierte webbasierte Verwaltungsoberfläche von Smoothwall erlaubt auch dem Einsteiger eine zügige Konfiguration des Firewall-Routers.

Während Services die Verwaltung der Proxy- und DNS-Dienste zusammenfasst, erreichen Sie über Networking sowohl die Konfiguration der Firewall als auch des QoS und der Verbindungseinstellungen (Modem, ADSL etc.). Das Update-Frontend erreichen Sie über den Eintrag Maintenance. Ein zeitgesteuertes automatisches Update erlaubt die Oberfläche jedoch nicht. In der gleichen Rubrik ändern Sie auch die Passwörter vor Admin und Dial. Letzterer erlaubt lediglich das Verbinden und Trennen einer Einwahlverbindung über das Webfrontend.

Fazit

Smoothwall verbindet eine ansprechende und leicht verständliche Benutzerführung mit einer Vielzahl sinnvoller Funktionen. Anders als viele ihrer Konkurrenten bietet die Distribution mit diversen Proxy-Servern eine fast vollständige Application-Level-Firewall und verhindert damit zuverlässig den direkten Zugriff von Programmen auf das Internet. Derzeit verfügt die Distribution jedoch nur über eine englische Benutzeroberfläche. Eine Schnittstelle zum Installieren von Modulen, wie beispielsweise bei Ipcop, fehlt bislang.