Profi-Schutz für kleine Netze: Die Fünf-Minuten-Firewall

Eine linuxbasierte Firewall ist schnell fertig, erfordert wenig Arbeit und macht Hackern das Leben schwer. Doch welche Distribution passt zu welcher Aufgabenstellung? ZDNet hat die Übersicht, die eine Entscheidung leichter macht.

Schnell fertig und wenig Arbeit – das klingt nicht nur nach der Fünf-Minuten-Terrine, sondern gilt auch für die Massen von Linux-Firewall-Distributionen. Auf den Distributions-Verteilern wie Distrowatch warten in der Regel ein Dutzend Versionen auf ihren Download, insgesamt dürfte es an die Hundert Variationen geben. Die Bandbreite reicht von kostenlos oder für Geld, mit professioneller Hilfe oder ganz auf sich selbst gestellt, mit hübschen Web-Frontends oder spartanischer Shell-Konfiguration.

Auf den ersten Blick sind alle Linux-Firewalls gleich: Sie basieren auf Netfilter, einem Linux-Kernel-Modul, das Datenpakete abfangen und bearbeiten kann, sowie iptables, dem Dienstprogramm zur Konfiguration von Netfilter. Das Gespann kann Datenpakete auf der Vermittlungsschicht, der Transportschicht und teilweise auf der Anwendungsschicht verarbeiten. Damit sind die üblichen Firewall-Aufgaben abgedeckt: Paketfilter, Stateful Inspection, Application Proxy und Network Address Translation (NAT) samt Masquerading und Port-Weiterleitung. Bis zur Kernel-Version 2.2 hieß iptables übrigens ipchains, das man bei sehr alten Distributionen noch ab und an sieht.

Auf der Basis von Netfilter/iptables hat die Open-Source-Community eine große Zahl von Distributionen entwickelt, die ganz spezifisch auf die Bedürfnisse einer Firewall zugeschnitten sind. Linux besitzt ohnehin viele Vorteile, die es für den Einsatz als Sicherheitsplattform prädestinieren. So kommen linuxbasierte Firewalls mit sehr geringen Hardwareanforderungen aus. Das freut den Heimanwender, der sich aus dem ausrangierten Pentium III eine flotte Firewall baut. Bei einer Web-Abstimmung auf Sourceforge gab die Hälfte aller Teilnehmer an, ihre Firewall laufe auf einem Pentium I, II oder III. Im Notfall, oder wenn eine grafische Oberfläche nicht wichtig ist, genügt für die besprochenen Distributionen schon ein 486er.

Noch wichtiger ist die Genügsamkeit in puncto Leistung für die Industrie. Weil Linux-Firewalls auf Strom sparenden Prozessoren laufen können, benötigen sie keine Lüfterkühlung, sind deshalb geräuschlos und können wasserdicht oder explosionsgeschützt verpackt werden.

Wer eine Linux-Firewall über sein Netzwerk wachen lassen möchte, hat also reichlich Auswahl und kann persönliche Vorlieben, die Voraussetzungen des Netzwerkes und nicht zuletzt die zur Verfügung stehende Hardware in die Entscheidung mit einbeziehen. Gibt es zum Beispiel einen Webserver, der in einer Demilitarisierten Zone (DMZ) stehen soll, muss die Firewall mehrere Netz-Interfaces komfortabel verwalten. Viele Distributionen bieten auch Funktionen an, die über den üblichen Leistungsumfang hinausgehen. Spamfilter und Antivirenlösung sind genauso mit von der Partie wie URL-Filter, VPN-Gateways oder VoIP-Proxys. „Allerdings sollten kleinere Firmen eher auf die Angebote von ISPs und Mailprovidern zurückgreifen“, rät Volker Tanger, Sicherheitsconsultant bei Hisolutions. „Der dort angebotene Spam- und Virenschutz ist für kleinere Netze sowohl günstiger als auch deutlich einfacher zu handhaben als auf der Firewall.“ Sicherheits-Fanatiker werden dem beipflichten: Je mehr Dienste auf einer Firewall laufen, desto anfälliger ist sie für Sicherheitslücken. „Alles weg, was nicht unbedingt sein muss“ heißt denn auch die Devise einiger Distributionen. Devil-Linux kommt mit etwa zehn aktiven Prozessen aus.

Themenseiten: Hacker, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Profi-Schutz für kleine Netze: Die Fünf-Minuten-Firewall

Kommentar hinzufügen
  • Am 20. Dezember 2006 um 22:55 von linuxlova ;)

    inhaltlicher Fehler ?
    Zitat:
    Seine Linux-Distribution basiert auf BSD

    Ich sag nur BSD ist nicht Linux & Linux ist nicht *NIX =)

  • Am 6. Februar 2007 um 12:32 von Rumble

    Schade…
    Vielversprechender Titel, dahinter wieder mal nur eine aussagelose Bewerbung teils freier, teils kostenpflichtiger Software. Kaum sinnvolle technische Details, keine Anleitung, nichts dergleichen.

    Ein technischer Laie – also die meisten Internetuser – können mit dem Text nicht viel anfangen – ein Kenner braucht ihn nicht.

    Fazit: Werbung, einsortiert in der Rubrik Praxis. Schade.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *