Firewall-Distribution IPFire

Aus LinuxUser 11/2013

Firewall-Distribution IPFire

© Rafa Borowiec, 123RF

Torhüter

Die Firewall-Distribution IPFire sichert nicht nur Ihr Netz gegen Angriffe von außen ab, sondern ermöglicht auch das anonyme Surfen via Tor-Netzwerk.

So gut wie jeder Rechner mit Internet-Zugang verfügt inzwischen über eine ins Betriebssystem integrierte Firewall. Sobald Sie jedoch mehrere Rechner simultan über ein Netzwerk an das Internet anschließen, steigt der Administrationsaufwand enorm. Abhilfe schafft ein zwischen den DSL-Anschluss und das Intranet geschalteter Firewall-Rechner, der den gesamten ein- und ausgehenden Datenverkehr überwacht. Mit der darauf spezialisierten Linux-Distribution IPFire sichern Sie Ihr Intranet bequem und effizient gegen Angriffe ab.

Los geht’s

Das lediglich 102 MByte kleine ISO-Image von IPFire steht in der neuesten Version Core 72 auf der Projektseite [1] zum Download bereit. Als Mindestvoraussetzung für den Betrieb von IPFire nennen die Entwickler eine Pentium-I-CPU, 128 MByte Arbeitsspeicher und eine 2 GByte große Festplattenpartition. Somit steht einer Reaktivierung eines betagten PCs als Firewall nichts im Weg.

Allerdings gilt es zu beachten, dass der sinnvolle Betrieb einer dedizierten Firewall nur mit mindestens zwei LAN-Schnittstellen möglich ist. Wollen Sie die Distribution auch zum Absichern eines WLAN einsetzen oder ein größeres Netz mit einer DMZ versehen, benötigen Sie hierfür ebenfalls noch die passenden Netzwerk-Interfaces. Beachten Sie, dass dass IPFire ältere 10-Mbit/s-LAN-Karten nicht mehr unterstützt. Mit den meisten gängigen Fast- oder Gigabit-Ethernet-NICs kommt sie jedoch problemlos zurecht. Ähnliches gilt für WLAN-Karten, die IPFire erst ab dem 802.11g-Standard unterstützt. Ältere Modelle erweisen sich nicht nur als langsam, sondern aufgrund ihrer schwachen Verschlüsselung als enormes Sicherheitsrisiko, das auch die beste Firewall nicht einschränken kann.

Nach dem Brennen des CD-Images installieren Sie die Distribution auf dem gewünschten Rechner. Bei der Standardinstallation fragt die optisch rustikal wirkende Routine lediglich die Tastatur-Lokalisierung ab sowie die gewünschten Passwörter für den Root- und den Administrator-Zugang. Nach Abschluss der Installation und einem Neustart des Systems geht es an die Konfiguration.

Farbenspiele

Als ersten Schritt konfigurieren Sie physikalisch im System vorhandene Netzwerk-Schnittstellen und Dienste. Damit auch Einsteigern das Aufsetzen einer komplexen Firewall gelingt, kennzeichnet IPFire die Schnittstellen farblich: Rot repräsentiert den “gefährlichen” Zugang zum Internet, Grün das “ungefährliche” Intranet, das blaue Interface steht für das WLAN, und eine eventuell vorhandene DMZ hängt am orangefarbenen Anschluss.

Da IPFire die eingebauten Netzwerkkarten in den meisten Fällen automatisch erkennt, brauchen Sie im Einrichtungsdialog lediglich das passende Device der jeweiligen Farbe zuzuordnen. In übersichtlichen Einstellungsdialogen ohne optische Gimmicks geben Sie die gewünschten IP-Adressen der Schnittstellen an und konfigurieren die DNS- und Gateway-Dienste. Danach starten Sie die Distribution neu. Wurde das Initial-Setup korrekt erledigt, erreichen Sie von nun an den Rechner übers Netzwerk.

Die Konfigurationsoberfläche für alle IPFire-Dienste realisierten die Entwickler sinnvollerweise nicht mithilfe einer speziellen Applikation, sondern über eine Weboberfläche. Das gewährleistet ein problemloses Administrieren des Systems auch in heterogenen Umgebungen. Sie erreichen das System mit einem Webbrowser unter der Adresse https://IPFire-IP:444, alternativ via https://ipfire.localhost:444. Nach einer Zertifikatsabfrage und anschließender Authentifizierung als Administrator erscheint die Weboberfläche mit den Einstellungsdialogen (Abbildung 1). Misslingt eine Verbindung zu IPFire wider Erwarten, ändern Sie die Grundkonfiguration, indem Sie im Terminal des Firewallrechners setup eintippen und sie anpassen.

Abbildung 1: Übersichtlich und aufgeräumt präsentiert sich die zentrale Verwaltungsoberfläche von IPFire im Webbrowser.

Abbildung 1: Übersichtlich und aufgeräumt präsentiert sich die zentrale Verwaltungsoberfläche von IPFire im Webbrowser.

In der horizontal am oberen Fensterrand befindlichen Reiterleiste der Weboberfläche finden Sie die Hauptgruppen, rechts davon erscheint vertikal das kontextsensitiv sogenannte Sidemenu mit den Untergruppen. Im ersten Schritt klicken Sie auf den Reiter firewall, um die auf dem Duo Netfilter/Iptables basierenden Firewall-Einstellungen zu öffnen. Bereits vorhandene Settings zeigt die Oberfläche links im Fenster an. Einzelne Parameter dazu rufen Sie über das Sidemenu auf.

Danach bietet es sich insbesondere bei einem größeren Intranet an, im Reiter netzwerk die Proxy-Einstellungen anzupassen. Die Distribution setzt hier auf den unter Linux häufig genutzten Proxy-Server Squid, der professionelle Konfigurationsmöglichkeiten bietet. Via URL-Filter aus dem Sidemenu blocken Sie mithilfe von Sperrkategorien sowie Blacklists unerwünschte Seiten. Hier finden Sie zudem weitere Kategorien, wie zu sperrende Dateierweiterungen oder auch eine netzwerkbasierte Zugriffskontrolle mit der Sperrung von IP-Adressen. Vorgefertigte Blacklists, die Sie per Knopfdruck ins System einpflegen können, stehen im Internet zum Download bereit.

Eine weitere nützliche Funktion zur Intranet-Administration stellt der ebenfalls im Reiter netzwerk befindliche Connection Scheduler dar. Mit ihm legen Sie Zugriffszeiten für das Internet fest sowie Aktionen, die IPFire zu festgelegten Zeiten erledigt.

Im Reiter dienste finden Sie weitere sicherheitsbezogene Einstellmöglichkeiten, wobei insbesondere die Links IPSec, OpenVPN, Quality of Service und Einbruchdetektierung eine wichtige Rolle spielen. IPFire setzt bei der Einbruchserkennung auf den Snort-Server, der Datenpakete auf Unregelmäßigkeiten hin prüft und mutmaßliche Einbrüche meldet. Er bietet dazu vorgefertigte Regeln, die Sie aus dem Internet laden und in die IPFire-Installation integrieren, sodass eine umständliche Installation von Hand entfällt (Abbildung 2).

Abbildung 2: Einbruchserkennung leicht gemacht: Dank den vorgefertigten Regeln erkennt das IDS Snort Angriffsversuche auf den Server auch ohne komplizierte manuelle Konfiguration.

Abbildung 2: Einbruchserkennung leicht gemacht: Dank den vorgefertigten Regeln erkennt das IDS Snort Angriffsversuche auf den Server auch ohne komplizierte manuelle Konfiguration.

Addons

Eines der Highlights von IPFire stellt die Möglichkeit dar, den Funktionsumfang des Systems durch Addons zu erweitern. Dazu bietet die Distribution einen eigenen Paketmanager an, der durch bequeme Installation vorbereiteter Pakete aus der Firewall-Distribution einen multifunktionalen Server macht. Der Schwerpunkt der Addons liegt dabei eindeutig auf Sicherheitsaspekten.

Sie erreichen die Addon-Seite über den Reiter ipfire. Der einzige im Sidemenu gelistete Eintrag Pakfire ist bereits aktiviert. Links im Bildschirm finden Sie die vorhandenen Erweiterungen aufgelistet, rechts in einem noch leeren Bereich die installierten. Um eines der Addons zu installieren, klicken Sie darauf und anschließend unter dem Listenfenster auf das grüne Plus-Symbol. Pakfire lädt die Erweiterung nun aus dem Internet herunter, wobei er eventuelle Abhängigkeiten auflistet und nach einer Sicherheitsabfrage automatisch nachzieht (Abbildung 3).

Abbildung 3: Bequem: Dank des integrierten Paketmanagers Pakfire richten Sie Tor mit wenigen Mausklicks in der Distribution ein.

Abbildung 3: Bequem: Dank des integrierten Paketmanagers Pakfire richten Sie Tor mit wenigen Mausklicks in der Distribution ein.

Nach Abschluss der Installation zeigt der rechte Bereich der Pakfire-Konfiguration die neu hinzugekommenen Pakete an. Auf diese Weise richten Sie neben einem Datei- und Druck-Server für heterogene Umgebungen auch beispielsweise einen Mail-Server oder ein Intrusion-Prevention-System (IPS) auf Basis des Snort-Servers ein. Darüber hinaus stehen mehrere multimediale Anwendungen als Addon bereit, die das System in einen Streaming-Server für das Intranet verwandeln.

Anonymität mit Tor

Zur bedeutendsten Neuerung der aktuellen Core-72-Version von IPFire zählt zweifellos das Tor-Addon. Der Anonymisierungsdienst Tor [2], der eine Analyse des Datenverkehrs und damit des Nutzerverhaltens durch Dritte erschwert, kann sowohl als Client als auch als Mitglied des Tor-Dienstes (Tor-Relay) auf einem IPFire-System installiert werden. Sie müssen dazu im Pakfire-Installationsfenster lediglich das Tor-Paket tor-0.2.3.25-3 in der Addon-Liste anwählen und den Download anstoßen. Im Sidemenu erscheint nach Abschluss der Installation der Link Tor. Ein Klick darauf leitet Sie in eine recht umfangreiche Konfigurationsoberfläche.

Der Tor-Client startet nicht automatisch, sondern erwartet zunächst ein Setup. Dazu müssen Sie im Bereich tor-konfiguration | Einstellungen entweder hinter dem Eintrag Tor einschalten: oder hinter Tor-Relay einschalten: einen Haken setzen. Anschließend tragen Sie bei Bedarf, etwa bei größeren Intranets, mehrere Subnetze für die Verwendung mit Tor ein und nehmen die Bandbreiteneinstellungen vor. Abschließend sichern Sie die Änderungen mit einem Klick auf Speichern im unteren Fensterbereich. Der Tor-Client oder Relay-Dienst startet danach, was ein grüner Balken oben im Fenster mit dem Hinweis LÄUFT anzeigt.

Damit die Browserkommunikation tatsächlich über das Tor-Netzwerk läuft, gilt es, den Webbrowser entsprechend einzurichten. In Firefox öffnen Sie dafür Bearbeiten | Einstellungen | Netzwerk. Im Bereich Verbindung klicken Sie auf die Schaltfläche Einstellungen… und aktivieren anschließend die Manuelle Proxy-Konfiguration:. Nun geben Sie in der Zeile SOCKS-Host: die IP-Adresse des IPFire-Rechners an und den Port 9050. Ein Klick auf OK übernimmt die Änderungen.

Nach abgeschlossener Konfiguration prüfen Sie die korrekte Funktion des Tor-Clients mit dem Aufruf der URL https://check.torproject.org/.

Schau genau

IPFire bietet die von professionellen Systemen erwarteten umfangreichen Log- und Statusfunktionen, die bei Problemen eine wertvolle Hilfe zur Fehlerlokalisierung und -behebung bieten. Dabei bereitet das System die gewonnenen Daten grafisch anspruchsvoll auf, sodass Sie auf einen Blick sehen, ob beispielsweise der Datentransfer zwischen verschiedenen Schnittstellen funktioniert oder nicht.

Sie finden die Statistiken im Menü status und rufen anschließend im Sidemenu die gewünschten Anzeigen auf. Da diese nicht nur unterschiedliche Hardware-Komponenten umfassen, sondern auch im Menü Dienste installierte Serverapplikationen und Addons auflisten, sehen Sie auf einen Blick, ob ein Server ein- oder ausgeschaltet ist. Somit lokalisieren Sie sowohl auf Hard- als auch Softwareseite auftretende Probleme schnell und effizient (Abbildung 4).

Abbildung 4: Die grafisch aufbereiteten Logdateien erleichtern die Suche nach potenziellen Fehlern erheblich.

Abbildung 4: Die grafisch aufbereiteten Logdateien erleichtern die Suche nach potenziellen Fehlern erheblich.

Fazit

Auch das neue IPFire 2.13 Core 72 überzeugt wieder uneingeschränkt. Der Schwerpunkt der aktuellen Version liegt auf der Fehlerbeseitigung, sie bringt jedoch mit dem Tor-Addon auch eine echte Innovation mit. Dabei ist es den Entwicklern gelungen, die manuell oft etwas kapriziöse Tor-Konfiguration in wenige Schritte zu packen, sodass auch Laien schnell einen Sicherheitsgewinn in ihrem Intranet erzielen.

IPFire gibt auch auf älteren Systemen nach wie vor eine sehr gute Figur ab, arbeitet stabil und zuverlässig ohne bemerkbare Geschwindigkeitseinbußen. Auch viele laufende Dienste belasten selbst betagte Pentium-III-Systeme kaum, sodass einer Reaktivierung solcher Rechner als Netzzugangssystem nichts im Weg steht. 

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 4 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LinuxUser 11/2013 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Ähnliche Artikel

Heft-DVD 06/2026

Neues auf der Heft-DVD

Thomas Leichtenstern

Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie topaktuelle Distributionen zum Ausprobieren, aber auch für den Produktiveinsatz.

Hilfreiche Artikelelemente im Detail erklärt

README

Jörg Luther

In jedem Artikel in diesem Heft liefert eine Reihe spezieller Textauszeichnungen und hilfreicher grafischer Elemente wichtige Zusatzinformationen zum Text.

Grafische Frontends mit wxPython programmieren

Heiße Oberfläche

Markus Hoffmann

Python bringt in der Standardbibliothek Tkinter mit, ein Tool für die GUI-Entwicklung. Allerdings stört dessen etwas altbackenes Erscheinungsbild. wxPython verspricht einen moderneren Look.

Secure Boot verstehen und einrichten

Umstrittene Sicherheit

Ferdinand Thommes

Secure Boot bleibt unter Linux ein zweischneidiges Schwert – meist mit eingebauter Abhängigkeit von Microsoft.

Ghostty: Ein moderner Terminalemulator für Linux mit klarer Vision

Terminal de luxe

Christoph Langner

Der moderne Terminalemulator Ghostty punktet mit GTK4-Integration und Features wie Tabs, Splits und Kitty-Grafik.

E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben