Mit ClearOS setzen Sie dank intuitiver Oberfläche ein Gateway auf, das mit zahlreichen Filtern und Kontrollen die Rechner im LAN vor Angriffen schützt.

Linux bietet fast für jeden Einsatzzweck und jedes Netzwerk den passenden Server. Doch insbesondere Heimanwender scheuen die Konfiguration eines solchen Systems, vor allem zum Absichern eines eigenen Netzwerks: Das Einrichten bleibt für Einsteiger oft ein Buch mit sieben Siegeln. ClearOS macht es jedoch leicht, ein Computersystem als sicheren Zugangspunkt für das heimische Netz zu konfigurieren.

ClearOS

Das mittlerweile als Community-Variante in Version 6.5.0 vorliegende System hat sich einer stark vereinfachten Konfiguration von verschiedensten Server-Diensten verschrieben. Es setzt auf Red Hat Enterprise Linux 6 (RHEL 6) auf und kommt ohne unnötige Extras in einer 32-Bit- und einer 64-Bit-Variante, die die Entwickler jeweils auf ein unter 600 MByte großes Image abgespeckt haben [1]. Daneben gibt es auch verschiedene für den Einsatz in virtuellen Umgebungen speziell angepasste Versionen.

Mittlerweile entwickelt und pflegt die ClearFoundation das früher unter dem Namen ClarkConnect vertriebene Betriebssystem. Sie bietet die Community-Variante kostenlos an, während die Professional-Version mit bezahlpflichtigen Dienstleistungen gekoppelt ist. Beide Varianten zeichnen sich durch ein spezielles Software-Management aus: Die Basis der Distribution ist sehr schlank gehalten, während Sie benötigte Serverdienste über eine App-Verwaltung nachinstallieren.

Da Sie alle Dienste über eine einheitliche Oberfläche im Webbrowser verwalten, entfällt ein umfangreiches Einarbeiten. Zudem legen die Entwickler der ClearFoundation großen Wert darauf, das gesamte Management der installierten Apps möglichst einfach zu gestalten, um so Einsteigern den Umgang mit den Programmen zu erleichtern.

Hardware

ClearOS ist geradezu prädestiniert, einen älteren PC wieder zu neuem Leben zu erwecken. Für das heimische Intranet oder ein kleines Netz in einer Firma eignet sich ein solcher Rechner als Gateway-System, das Sie zwischen den DSL-Router und einen Switch schalten und das so den gesamten Datenverkehr überwacht.

Für diese Aufgabe kommen bei kleinen Netzen mit wenigen angeschlossenen Rechnern Systeme mit Prozessoren ab der P6-Generation infrage, also ab dem Pentium Pro von Intel. Als minimalen Arbeitsspeicher geben die Entwickler 1 bis 2 GByte an, als Festplattenplatz mindestens 1 GByte. Daneben benötigen Sie für den Gateway-Einsatz mindestens zwei LAN-Karten. Welche Hardware sich für das jeweilige Szenario eignet, klärt die entsprechende Hilfe zu Installation [2].

Nach dem Booten von einem entsprechend vorbereiteten Datenträger (wie beispielsweise der Heft-DVD dieser Ausgabe) installieren Sie das System mithilfe der von RHEL her bekannten Routine Anaconda, die die Daten auf die Platte packt. Dabei legt sie einen Root-Account an und prüft die Stärke des Passworts. Wählen Sie es zu schwach, moniert das Tool dies. Mithilfe einer Checkbox aktivieren Sie das Verschlüsseln der Daten auf dem Massenspeicher.

Erster Start

Nach Abschluss der Installation starten Sie das System neu. ClearOS leitet Sie in einen Dialog, der die Einstellungen für das Netzwerk anzeigt. Beim Start versucht die Software, eine IP-Adresse über einen DHCP-Server zu erhalten. Dazu benötigt es eine Ethernet-Schnittstelle und einen kabelgebundenen Zugang zum Router, der einen DHCP-Server anbieten muss. Alternativ konfigurieren Sie weitere Schnittstellen oder ändern die IP-Adressen, wobei die Software jedoch WLAN-Karten derzeit nicht unterstützt.

ClearOS verwendet eine eigene Nomenklatur bei der Installation der Schnittstellen: So bezeichnet es das mit dem Internet verbundene Interface als External, wobei dieses wiederum eine von vier Funktionen einnehmen darf: Gateway, Standalone, Standalone – No Firewall und Trusted Gateway.

Im vorliegenden Szenario erkennt das System das zum DSL-Router führende Interface automatisch als External. Damit schaltet es automatisch die Firewall ein. Die ins LAN weisende Schnittstelle dagegen konfigurieren Sie von Hand, wobei Sie eine IP-Adresse festlegen und als Typ LAN auswählen. Das ermöglicht das Routing, sodass Pakete aus dem LAN an die externe Schnittstelle gelangen und umgekehrt.

Achten Sie im Fall des Gateway-Systems darauf, dass beide Ethernet-Schnittstellen (eth0 und eth1) korrekt konfiguriert sind. Für einen sauberen Betrieb müssen die IP-Adressen unterschiedlichen Subnetzen entstammen. Üblicherweise kommen in kleinen Netzen Adressen aus dem Class-C-Segment zum Einsatz, wobei DSL-Router voreingestellt oft auf 192.168.1.1 oder 192.168.2.1 hören.

Der Rechner mit ClearOS erhält in diesem Szenario auf seiner ersten Schnittstelle vom DHCP-Server des Routers eine Adresse aus dem entsprechenden Subnetz zugewiesen. Für die zweite Schnittstelle, die ins LAN verbindet, vergeben Sie daher eine aus einem anderen Subnetz.

Haben Sie die erste Konfiguration fertiggestellt, loggen Sie sich auf dem System aus und starten auf einem der im Intranet befindlichen Rechner einen Webbrowser. In dessen Adresszeile geben Sie über das gesicherte HTTPS-Protokoll die IP-Adresse der ClearOS-Maschine ein, gefolgt von einem Doppelpunkt und der Portnummer 81, also https://ClearOS-IP:81.

Danach warnen die gängigen Browser zunächst vor einer nicht vertrauenswürdigen Verbindung. Diese Meldungen ignorieren Sie jedoch, denn in diesem Fall ist der Browser lediglich nicht in der Lage, die Identität der aufgerufenen Seite zu verifizieren. Sie gelangen jetzt zur grafischen Oberfläche zum Administrieren des ClearOS-Systems (Abbildung 1).

Abbildung 1: ClearOS administrieren Sie komplett über den Webbrowser.

Die Oberfläche dient dazu, die Rolle des Systems im Netz zu definieren und entsprechende Dienste zu installieren. Dazu führt sie die GUI Schritt für Schritt durch die Konfiguration. Zunächst legen Sie fest, ob der Rechner als Private Server, Public Server oder im Gateway Mode arbeitet.

Der Modus Public Server eignet sich für mittlere und große IT-Infrastrukturen und um Dienste im Internet anzubieten. Für ein kleines LAN kommt der Private Server oder der Einsatz als Gateway infrage. Letzteren bietet die Software nur dann an, wenn es zwei LAN-Karten im System findet.

Haben Sie den gewünschten Modus ausgewählt, klicken Sie links im Fenster auf die Schaltfläche Next und gelangen so zur Anzeige der LAN-Schnittstellen. Deren Einstellungen ändern Sie bei Bedarf durch einen Klick auf die Schaltfläche Edit rechts hinter jedem Interface-Eintrag.

Im nächsten Schritt richten Sie die DNS-Konfiguration ein. Benötigen Sie dabei einen öffentlichen DNS-Server, bietet es sich an, hier temporär die Dienste von Google in Anspruch zu nehmen, indem Sie als Server die IP-Adressen 8.8.8.8 und 8.8.4.4 festlegen.

Anschließend prüft das System, ob bereits Aktualisierungen für die Software vorhanden sind. Diese zeigt das System an und bringt sie nach einem Klick auf Next links im Fenster auf den neuesten Stand.

Danach fragt der Dialog Daten für ein Benutzerkonto ab, das ClearOS für den Einsatz der Servermodule und Dienste benötigt. Die Module stellt ClearOS in einem speziellen Store bereit. Im Rahmen der Registrierung fragt das System die Domain und den Hostnamen ab – allerdings brauchen Sie keine Daten wie einen Namen anzugeben. Haben Sie diese Schritte vollzogen, so verzweigt die Routine in die App-Verwaltung.

App-Verwaltung

Die App-Verwaltung bietet in sieben Gruppen sowohl kostenfreie wie auch kostenpflichtige Module. Dabei listet das Werkzeug installierte wie noch nicht integrierte Dienste und Module auf, was es jeweils durch Symbole kennzeichnet. So behalten Sie den Überblick, was auf dem System aktiv ist. Zunächst wählen Sie aus, ob Sie Apps aus einer nach Kategorien oder nach Funktionen sortierten Liste heraussuchen möchten.

Die nach Funktionen geordnete Liste führt dabei die Gruppen Directory Services, Firewall and Networking, Perimeter Security, Web Content Filter, Groupware/E-Mail, Disaster Prevention and Recovery und Home Networking auf, während Sie bei den Kategorien die sechs Gruppen Cloud, Gateway, Server, Network, System und Reports finden. Jede Gruppe enthält eine unterschiedliche Anzahl von Apps. Um eine davon zu installieren, klicken Sie einfach auf das entsprechende Symbol, wobei dieses anschließend einen blauen Hintergrund erhält.

Bereits die erste Gruppe Directory Services zeigt deutlich, dass sich ClearOS in heterogene Umgebungen einfügt: Hier finden Sie neben einem OpenLDAP-Server zum Verwalten von Benutzern eine Möglichkeit, den Rechner an eine Active-Directory-Infrastruktur anzubinden – Letztere ist jedoch kostenpflichtig.

Die Gruppe Firewall and Networking enthält unzählige Firewall-Module sowie Software zum Aufbau von virtuellen privaten Netzen (VPN), zur Integration einer DMZ und zum Aufsetzen eines DHCP- oder DNS-Servers. Diese beiden Dienste sowie eine Firewall sind bereits installiert und durch ein Band mit der Aufschrift Installed gekennzeichnet (Abbildung 2).

Abbildung 2: An sicherheitsrelevanten Applikationen mangelt es bei ClearOS nicht.

Die dritte Gruppe, Perimeter Security, beinhaltet mehrere Lösungen zum Abwehren von Malware, Phishing und Viren sowie Apps zum Erkennen von Einbrüchen (IDS) und Abwehr von solchen (IPS). Während die eigentlichen Dienste bis auf eine proprietäre App des Herstellers Kaspersky zur Abwehr von Malware kostenfrei bleiben, gibt es die zugehörigen Updates nur gegen Geld.

In der vierten Gruppe Web Content Filter fasst ClearOS neben den eigentlichen Filtern für Inhalte auch einen Web-Proxy sowie einen RADIUS-Server zusammen. Zusätzlich finden sich hier Tools zum Reporting. An kostenpflichtiger Software gibt es neben dem bereits bekannten Tool von Kaspersky erneut Updates für den Content-Filter.

Die fünfte Gruppe beinhaltet vier E-Mail- und Groupware-Lösungen, wovon lediglich der IMAP- und POP-Server freie Software sind. Die Google-Apps ebenso wie die beiden Zarafa-Module dagegen stehen nur teilweise unter einer freien Lizenz, ClearOS integriert sie als kostenpflichtige Software. Die Google-Apps-Synchronisation setzt darüber hinaus eine feste Integration in das Biotop des entsprechenden Unternehmens voraus.

Das sechste Segment Disaster Prevention and Recovery befasst sich hauptsächlich mit verschiedenen Backup-Lösungen und dem Überwachen der Hardware. Darunter fallen zwei Cloud-Dienste mit jeweils 5 und 50 GByte Speicher in der Cloud, beide kostenpflichtig.

Während Tools zum Ermitteln der Auslastung der Festplatten und für das PC-Backup ebenso wie der Software-RAID-Manager stehen hier gratis bereit, die Module Remote Server Backup und Remote System Monitor sowie der SMART-Monitor zum Überwachen der Platten im lokalen System kosten wiederum Geld.

Im letzten Bereich finden Sie Applikationen für das Home Networking. Dazu zählen zwei Media-Server, ein Photo-Organizer, ein Dropbox-Client sowie der Transmission-Bittorrent-Client und der von der rumänischen Firma Invisible Browsing angebotene ibVPN-Client.

Haben Sie die zur Installation auf dem ClearOS-System vorgesehenen Apps in den sieben Gruppen markiert, so klicken Sie erneut links im Fenster auf Next. Der Dialog zeigt nun die markierten Applikationen in einer Liste an. Falls Sie eines oder mehrere der Module doch nicht installieren möchten, entfernen Sie es durch einen Klick auf die Schaltfläche Delete rechts hinter jedem Modul (Abbildung 3).

Abbildung 3: Das System listet die zu installierenden Dienste vor dem Download nochmals auf.

Anschließend klicken Sie oben rechts auf den Button Download and Install. Die Routine lädt nun die Applikationen herunter und installiert sie. Je nach Anzahl der Pakete und Geschwindigkeit des Zugangs nimmt das einige Zeit in Anspruch, wobei das Interface Sie mithilfe eines Fortschrittsbalkens über den aktuellen Stand informiert.

Konfiguration

Anschließend konfigurieren Sie, sofern nötig, die neu installierten Dienste. So gilt es etwa, die Blacklists der Content-Filter regelmäßig zu aktualisieren. Außerdem empfiehlt es sich, Monitoring-Tools ins System zu integrieren, um im Falle von technischen Problemen anhand der Protokolle Lösungen zu finden.

Für diese Aufgaben bietet ClearOS das Dashboard (“Armaturenbrett”), das verschiedene Funktionen zum Systemmanagement zusammenfasst. Dazu gehört die Möglichkeit, nachträglich weitere Apps zu installieren. Bei jedem neuen Login landen Sie automatisch im Dashboard. Dessen Oberfläche weist oben horizontal vier Reiter Gateway, Network, System und Reports auf.

Diese vier Reiter finden Sie zusätzlich links untereinander angeordnet in der Konfiguration. Sie rufen einen Server auf zweierlei Weise auf: Während die oben horizontal angeordneten Reiter beim Mouseover die Dienste und Server automatisch auflisten und Sie diese durch einen Klick auf die gewünschte Option bei Bedarf starten, zeigt die Liste links die zu jeder Gruppe gehörenden Dienste erst nach einem expliziten Klick auf deren Namen an. Das Dashboard ermöglicht zudem rechts im Fenster bei Problemen ein Herunterfahren oder einen Neustart Ihres Systems durch entsprechende Schaltflächen.

Die Gruppen Gateway und Network führen zu Dialogen, über die Sie Module konfigurieren. In der Gruppe System verwalten Sie die Benutzerkonten und Gruppen. Damit besteht die Möglichkeit, sehr detailliert Rechte zuzuweisen und Anwender oder Gruppen von bestimmten Diensten auszuschließen.

Unter demselben Menüpunkt finden Sie die Parameter für Backups, die es ermöglichen, hostbasierte Sicherungen anzulegen. Außerdem offeriert die Oberfläche hier Möglichkeiten, um Datum und Uhrzeit oder Benachrichtigungen per Mail einzustellen (Abbildung 4).

System vor.” width=”300″ height=”186″ /> Abbildung 4: Gruppen- und benutzerspezifische Einstellungen nehmen Sie unter System vor.

Die in den Listen aufgeführten Dienste modifizieren Sie je nach Bedarf in den Einstellungen, ohne sie vorher abzuschalten. ClearOS zeigt dabei an, ob ein Server oder Dienst aktiv ist. Insbesondere in größeren heterogenen Umgebungen betrifft dies Software gegen Viren, Phishing und Malware, wenn Sie Blacklists gesperrter IP-Adressen oder URLs anpassen. Zu dem Zweck klicken Sie auf den jeweils rechts neben oder unter den Optionen angezeigten Edit-Button und ändern diese im neuen Fenster.

Eine Ausnahme bilden die unter der Kategorie Reports zusammengefassten Protokolle: Hier finden Sie Protokolldateien, die ClearOS in die Untergruppen Gateway, Network und System unterteilt. Zu den zentralen Elementen gehören der Log Viewer und der Process Viewer.

Der Log Viewer führt Protokolle aller laufenden Dienste zusammen. Es besteht die Möglichkeit, Daten jedes einzelnen Servers oder Diensts im Auswahlfeld Log File auszuwählen und dabei Filter zu nutzen, um die Anzeige übersichtlicher zu gestalten. Nach einem anschließenden Klick auf Display erscheinen im unteren Bereich die passenden Einträge (Abbildung 5). Sie erlauben es, bei Problemen Hinweise zu deren Lösung abzuleiten.

Abbildung 5: Bei Problemen helfen ausführliche Protokolle schnell weiter.

Der Process Viewer listet alle Prozesse im System auf, wobei er ähnlich wie das Kommandozeilen-Tool Top den CPU-Leistungsbedarf mit aufführt. Auf diese Weise lokalisieren Sie von jedem Desktop im LAN aus hängende Prozesse und schießen diese durch einen Klick auf Kill rechts neben dem entsprechenden Eintrag ab.

Da ClearOS alle Prozesse unabhängig von ihrem Eigentümer aufführt, gestaltet sich die Anzeige zunächst sehr unübersichtlich. Die Software erlaubt es jedoch, die Liste nach allen angezeigten Kriterien zu sortieren. Auch eine integrierte Suchfunktion mit einem Eingabefeld erleichtert das Auffinden des gewünschten Prozesses.

Systemressourcen

Beim Überwachen von Servern gehören die Auslastung des Arbeitsspeichers sowie die Systemlast zu den wichtigsten Parametern. Die Oberfläche zeigt in Form von Grafiken und Tabellen alle Werte im Menü Reports | System | Resource Report auf. Hier definieren Sie bei Bedarf unterschiedliche Zeitintervalle für die Anzeige, um bei Problemen Zustände zeitlich einzugrenzen.

Schließlich gibt der System Report eine kompakte Übersicht über das Betriebssystem, die Kernelversion, die CPU und die Speicherkapazitäten. Hier sehen Sie auf einen Blick, wenn Massenspeicher zuzulaufen drohen.

Gateway-Überwachung

Besondere Aufmerksamkeit kommt in der vorgestellten Konstellation dem Überwachen des Gateways zu, da hier alle Clients aus dem Intranet zentral ans Internet angebunden sind und daher ausschließlich über den Gateway-Rechner Angriffe jedweder Art von außen erfolgen. Betreiben Sie ein heterogenes LAN mit PCs, deren Betriebssysteme einen niedrigen Sicherheitsstandard aufweisen, sollten Sie deshalb auf dem Gateway-Rechner Filter installieren, die Schadsoftware jedweder Art aus dem Datenstrom abwehren.

ClearOS setzt bei den angebotenen freien Lösungen auf bewährte Produkte: Als Proxy-Server kommt Squid zum Einsatz, ClamAV zeichnet für das Einfangen von Viren und Würmern zuständig, und Snort agiert als Einbruchserkennungssystem (IDS).

Entsprechend opulent fallen die Report-Funktionen aus. Sie finden in der Gruppe Filter and Proxy Report sechs Untergruppen. Neben Traffic Summary und Warning Summary, die das Aufkommen an Daten und Warnungen dokumentieren, erhalten Sie hier Auskunft über die aktivsten Anwender und IP-Adressen, die am häufigsten aufgerufenen Seiten und – falls aufgetreten – Details zu Schadsoftware.

Fazit

Mit ClearOS setzen Sie problemlos einen Server auf, der als Gateway mit Schutzfunktion das heimische Netz abschirmt. Durch die zwar optisch und funktionell zunächst etwas gewöhnungsbedürftige, aber effizient zu bedienende Oberfläche fällt das Management der einzelnen Dienste vergleichsweise leicht. Dazu trägt auch die leistungsfähige Report-Funktion bei.

Manuelle Änderungen jedoch wie statisches Routing erlaubt ClearOS nur durch ein Bearbeiten der entsprechenden Konfigurationsdateien im Editor. Das verlangt wieder entsprechende Kenntnisse und ein sorgfältiges Studium der Dokumentation. Kritik verdient zudem die Tatsache, dass die meisten Updates für proprietäre sicherheitsrelevante Dienste kostenpflichtig sind und nur über ein Abo-Modell bereitstehen.

Für den Einsatz in heterogenen Umgebungen bringt ClearOS außerdem teils ebenfalls proprietäre Dienste mit, deren Einsatz allerdings bei einer homogenen Linux- oder BSD-Umgebung unnötig ist. Für das Home Office oder ein kleines Firmennetz bietet ClearOS in jedem Fall eine gute Möglichkeit, diverse Dienste einzurichten und das Intranet zentral zu sichern.