Gerade auf Anwendungsebene wird der Schutz vor Angreifern aus dem Internet immer wichtiger. Die Gibraltar-Firewall bietet ihn.

Den Namen Gibraltar wählten die Schöpfer der Security-Appliance [1] nicht zufällig: Ähnlich wie die Meerenge versteht sich die Gibraltar-Firewall als Nadelöhr zwischen den Netzen. Da die Firewall als Live-System arbeitet, entfällt eine Installation. Anders als viele Konkurrenzprodukte verfolgt Gibraltar einen ganzheitlichen Ansatz und schützt das Netz nicht nur auf Netzwerkebene via Paketfilter und NAT, sondern bietet für alle wichtigen Dienste einen Filter-Proxy. Der untersucht den Datenstrom, je nach Einstellung, auf Viren sowie potenziell gefährlichen oder anstößigen Inhalten.

Beinahe zum guten Ton gehört die VPN-Unterstützung: Hier stellt Gibraltar gleich fünf verschiedene Alternativen zur Auswahl. Die LinuxUser-Version von Gibraltar enthält bereits einen zeitlich unbegrenzten Lizenzschlüssel, womit eine Registrierung entfällt. Lediglich die Anzahl der verbundenen Netzwerkgeräte ist auf fünf beschränkt.

Grundlegendes

Gibraltar ist klar auf den Einsatz in Produktivsystemen ausgerichtet. Dafür sprechen unter anderem die zuschaltbare Hochverfügbarkeit via Heartbeat sowie die Möglichkeit, komplexe Netzwerktopologien damit zu verwalten. Aber auch dem Heimanwender stehen überaus interessante Features zur Verfügung – allen voran der umfassende Application-Level-Gateway, der unter den für Privatanwender kostenfreien Firewall-Routern seinesgleichen sucht.

Für den Heimanwender ebenfalls interessant sind die integrierten Anonymisierungsdienste Tor, JAP und Freenet. Um zu verhindern, dass Sohnemann oder Tochter die ganze Bandbreite für sich beanspruchen, kommt der Traffic-Shaper (Abbildung 1) zum Einsatz. Mit ihm stellen Sie detailliert die Bandbreite ein, die jeder Service oder jede IP-Adresse bekommt.

Abbildung 1: Gibraltars Traffic-Shaping-Modul erlaubt das präzise Zuteilen von Netzwerkbandbreiten, fordert vom Anwender jedoch eine genaue Kenntnis der Funktionsweise.

Als Mindestanforderung an die Hardware empfiehlt Gibraltar eine CPU mit 600 MHz, 256 MByte RAM, ein 32-fach-CD-ROM-Laufwerk, zwei Netzwerkkarten sowie eine Festplatte und einen USB-Anschluss mit einem mindestens 512 MByte großen Speichermedium. Letzteres benötigen Sie zum Sichern der Konfiguration sowie als Proxy-Cache.

Nutzen Sie das volle Potential von Gibraltar – etwa die IDS, das VPN und den Content-Filter – sollten CPU und Hauptspeicher mindestens doppelt so groß sein. Gibraltar bietet relativ günstige vorkonfigurierte Hardware-Appliances zum Kauf an. So kostet die kleinste Variante etwa 490 Euro. Allerdings vertreibt der Hersteller die Geräte ausschließlich im Bundle mit einem mindestens einjährigen Support-Vertrag, der in diesem Fall mit 98 Euro zu Buche schlägt.

Startup

Bei Gibraltar handelt es sich um eine Live-Distribution, die zum Betrieb zunächst keine anderen Speichermedien benötigt. Beim ersten Hochfahren lädt das System die Grundeinstellungen. Die erste Netzwerkkarte bekommt die IP-Adresse 10.0.0.1/24 fest zugewiesen, die zweite 10.0.1.1/24. Ein Startup-Assistent zum Einstellen dieser Werte fehlt. Deswegen müssen Sie zur ersten Konfiguration dem Client, mit dem Sie auf die webbasierte Verwaltungsoberfläche der Firewall zugreifen möchten, eine IP-Adresse in diesem Adressraum geben – beispielsweise 10.0.0.100/24 – und eine entsprechende Route setzen.

Öffnen Sie danach die Konfigurationsoberfläche mit der Eingabe von https://10.0.0.1 in einem Webbrowser. Im Loginfenster erscheint als Benutzername root. Da noch kein Passwort vergeben wurde, klicken Sie auf Login um sich anzumelden. Ändern Sie danach die Sprache im Dropdown-Menü oben rechts auf German und fahren Sie mit dem Festlegen des Passworts in der Kategorie System fort. Klicken Sie auf den Button Passwort ändern und geben Sie eines ein.

Als ersten und wichtigsten Schritt gilt es danach, die Netzwerkeinstellungen einzurichten. Zunächst legen Sie unter eth0 den Device-Namen und die IP-Adresse der Karte fest. Da der Name in allen Konfigurationseinstellungen auftaucht, verwenden Sie einen möglichst anschaulichen Begriff, etwa intern. Beachten Sie, dass Sie sich bei Änderungen in jedem Fall neu einloggen und gegebenenfalls auch Ihren Client den neuen Netzwerkgegebenheiten anpassen müssen.

Anwender, die via ADSL ans Internet angeschlossen sind, richten danach unter ADSL PPP over Ethernet im Abschnitt Netzwerk | dial-in den Online-Zugang ein. Eine detaillierte Schritt-für-Schritt-Anleitung für die komplette Konfiguration finden Sie im Gibraltar-Handbuch ab Seite 14. Jede Konfigurationsmaske enthält darüber hinaus in der Titelleiste ein Fragezeichensymbol. Ein Klick darauf öffnet die Onlinehilfe (Abbildung 2).

Abbildung 2: Jedes Konfigurationsfenster enthält in der Titelleiste ein Fragezeichensymbol, das interaktiv die Onlinehilfe zum gewählten Thema aufruft.

Um die Konfiguration zu speichern, klicken Sie auf Konfiguration verwalten. Zur Auswahl stehen neben USB unter anderem Floppy, Compact Flash und HDD. Ein Klick auf Konfiguration downloaden lädt sie vom Speichermedium auf den lokalen Rechner herunter.

Beim Hochfahren durchsucht Gibraltar automatisch alle angeschlossenen Geräte nach dieser Konfiguration. Wird es fündig, bindet es sie direkt ein. Um den Prozess zu beschleunigen, geben Sie am Bootprompt fastboot-Medium ein, wobei Sie für Medium etwa usb oder floppy einsetzen.

Möchten Sie Dienste wie den Web- und Mail-Proxy oder das Monitoring nutzen, benötigt der Rechner eine Festplatte. Das passende Werkzeug, um diese einzubinden, finden Sie unter System | Festplatte konfigurieren. Beachten Sie, dass die Distribution stets den gesamten Plattenplatz für sich in Anspruch nimmt. Um den zusätzlichen Speicher zu nutzen, ist ein Neustart von Gibraltar erforderlich.

Proxy und mehr

Experten wissen: Das Filtern des Datenverkehrs auf Netzwerkebene stellt nur den ersten Schritt auf dem Weg zum sicheren Netz dar. Mindestens genauso wichtig ist es, den ein- und ausgehenden Datenstrom auf Applikationsebene zu überprüfen. Zu diesem Zweck verfügt Gibraltar über eine Reihe von Proxy-Diensten, die in der Lage sind, die wichtigsten Protokolle zu überwachen.

Zwar erlaubt die Konfigurationsoberfläche des HTTP-Proxy-Servers das Blockieren potenziell gefährlicher Inhalte wie ActiveX, Javaskript oder Cookies, allerdings nur ganz oder gar nicht. Eine Differenzierung ist nicht möglich. Da viele Webseiten nach dem Ausfiltern solcher Elemente nicht mehr funktionieren, erweist sich dieses Feature in der Praxis relativ nutzlos. Zwar findet sich der in dieser Hinsicht deutlich bessere Content-Filter Privoxy [2] auf dem System, ist aber nicht in die Webkonfiguration eingebunden.

Zum Schutz der Anwender vor anstößigen Webseiteninhalten verfügt Gibraltar über ein kostenpflichtiges Parental-Control-Modul namens Puresight. Es erlaubt das Blockieren von Inhalten, die in Verbindung mit Erotik, Glückspiel oder Drogen stehen. In der Basisvariante blockiert der Filter nur komplette Kategorien, erst die Enterprise-Edition erlaubt ein feineres Granulieren. Eine 30-tägige Testlizenz fordern Sie per E-Mail über office@gibraltar.at an. Warum Gibraltar allerdings nicht den durchaus leistungsfähigen und kostenfreien Content-Filter Squidguard [3] als Alternative im Webinterface anbietet, obwohl er bereits auf dem System installiert ist, bleibt unklar.

Als Königsdisziplin für Firewalls gilt jedoch das Filtern von Viren, Würmern und Malware. Zu diesem Zweck integriert Gibraltar den leistungsfähigen, aber kostenpflichtigen Virenscanner von Kaspersky in den Proxy. Tests ergaben, dass es beim Seitenaufbau kaum zu Verzögerungen kommt und Kasperskys Scanner die Systemressourcen des Routers nur wenig in Anspruch nimmt. Eine Ein-Jahres-Lizenz des Virenfilters kostet für ein Netzwerkgerät 30 Euro, für drei rund 61 Euro und für fünf 102 Euro. Der Scanner arbeitet dann im Verbund mit dem Web- und FTP-Proxy sowie dem SMTP- und POP3-Relay. Ebenfalls auf dem System installiert ist zwar die kostenfreie Variante Clamav [4] – auch hier fehlt aber wieder eine Verknüpfung auf der Konfigurationsoberfläche.

Ein weiteres Highlight von Gibraltar stellt das Mail-Relay. Es verfügt über eine Vielzahl von Filtermechanismen, die den Empfänger vor unerwünschten Mails schützen. So sorgt das Ablehnen von Mails mit Anhängen bestimmter Dateitypen (etwa PIF oder EXE) dafür, dass keine ausführbaren und damit gefährlichen Inhalte im Mailkonto landen. Während Kasperskys Scanner Viren und Würmer aussortiert, kontrolliert Amavis die eingehenden Nachrichten nach Spam. Die Einstellungen erlauben sowohl das Einbinden so genannter RBL-Listen als auch das Verwenden eines selbstlernenden Bayes-Filters.

Abbildung 3: Der Mail-Filter von Gibraltar erlaubt Ihnen, empfangene Nachrichten auf vielfältige Weise nach unerwünschten Anhängen, Viren und Spam zu untersuchen.

Da Gibraltar lediglich als Relay arbeitet, setzt das Benutzen dieses Diensts unter anderem einen Mailserver im internen Netz voraus. Darüber hinaus benötigen Sie eine eigene Maildomäne sowie einen DNS-Eintrag, der auf Gibraltar als Mailserver zeigt. Verwenden Sie den Mail-Server eines externen Anbieters wie GMX oder Google, verwenden Sie stattdessen den POP3-Proxy, der auch über einen Spam- und Virenfilter verfügt. Ein Socks-Proxy fehlt Gibraltar bislang noch. Er würde weitere Anwendungen, etwa IRC-Clients, unterstützen.

Traffic Shaping verhindert wirkungsvoll, dass ein Benutzer etwa durch einen Download das ganze Netz lahm legt. Gibraltar verfügt zum Einrichten dieses Bandbreitenmanagements über eine ausgeklügelte Konfigurationsoberfläche, die allerdings einer gewissen Einarbeitungszeit bedarf. Der Aufbau untergliedert sich sich nach Klassen, Klassengruppen und Regeln. Eine detaillierte Beschreibung finden Sie im Gibraltar-Handbuch ab Seite 139. Um das System korrekt zu konfigurieren, bedarf es grundlegender Kenntnisse über die Funktionsweise von Traffic Shaping, die das Handbuch nicht vermittelt. Hier hilft der auf der Heft-DVD enthaltene Artikel ” Vordrängler” [5] aus dem Linux-Magazin weiter.

Alles unter Kontrolle

Um den Status des Systems abzufragen, verfügt Gibraltar über einen Monitoring-Dienst, den Sie unter Dienste starten. Da dieser Daten auf der Festplatte speichert, gilt es jedoch zuvor, eine solche ins System einzubinden. Die Kategorie Monitoring fasst alle grafisch aufbereiteten Anzeigen, etwa System oder Netzwerkkarten zusammen.

Die Logdateien sehen Sie in der Kategorie System unter Systemlog ein. Anders als beispielsweise IPCop verzichtet Gibraltar auf das Aufbereiten der Daten, was das Lesen deutlich erschwert. Um Angriffe auf das Netz zu erkennen, verwendet die Firewall das altbewährte Intrusion Detection System Snort. Damit der Dienst den jeweils aktuellen Regelsatz des Vulnerability Research Teams herunterladen kann, gilt es zunächst, dort [6] einen Account zu erstellen. Den übermittelten Oink-Code fügen Sie dann in das dafür vorgesehene Feld der Web-GUI ein.

Als Standardausgabe verwendet Snort das eher unübersichtliche Systemlog. Eine grafische Oberfläche, welche die Ereignisse aufbereitet anzeigt, fehlt. Alternativ wählen Sie als Ausgabeziel eine externe Datenbank oder informieren den Admin via Mail von besonderen Ereignissen. Diese Möglichkeiten finden sicherlich im Unternehmen Anklang, für den Heimanwender sind sie eher unpraktisch.

Fazit

Gibraltar ist klar für den Einsatz im professionellen Umfeld ausgerichtet und bietet dafür Möglichkeiten, die weit über die von Small-Office/Home-Office-Firewalls wie IPCop hinausgehen. So erlaubt die Distribution das weitgehend freie Konfigurieren des Netzwerks samt Paketfilter, NAT und VLANs. Weiterhin arbeitet die Firewall als vollwertiger Application Level Gateway und besitzt einen fein granulierbaren Traffic Shaper.

Diese Komplexität hat allerdings ihren Preis: Ohne ein eingehendes Studium des PDF-Handbuchs dürften die meisten Anwender schon beim einfachen Einrichten des Systems als Internet-Gateway scheitern.