Eine linuxbasierte Firewall ist schnell fertig, erfordert wenig Arbeit und macht Hackern das Leben schwer. Doch welche Distribution passt zu welcher Aufgabenstellung? ZDNet hat die Übersicht, die eine Entscheidung leichter macht.
Schnell fertig und wenig Arbeit - das klingt nicht nur nach der Fünf-Minuten-Terrine, sondern gilt auch für die Massen von Linux-Firewall-Distributionen. Auf den Distributions-Verteilern wie Distrowatch warten in der Regel ein Dutzend Versionen auf ihren Download, insgesamt dürfte es an die Hundert Variationen geben. Die Bandbreite reicht von kostenlos oder für Geld, mit professioneller Hilfe oder ganz auf sich selbst gestellt, mit hübschen Web-Frontends oder spartanischer Shell-Konfiguration.
Auf den ersten Blick sind alle Linux-Firewalls gleich: Sie basieren auf Netfilter[1], einem Linux-Kernel-Modul, das Datenpakete abfangen und bearbeiten kann, sowie iptables[2], dem Dienstprogramm zur Konfiguration von Netfilter. Das Gespann kann Datenpakete auf der Vermittlungsschicht, der Transportschicht und teilweise auf der Anwendungsschicht verarbeiten. Damit sind die üblichen Firewall-Aufgaben abgedeckt: Paketfilter, Stateful Inspection, Application Proxy und Network Address Translation (NAT) samt Masquerading und Port-Weiterleitung. Bis zur Kernel-Version 2.2 hieß iptables übrigens ipchains, das man bei sehr alten Distributionen noch ab und an sieht.
Auf der Basis von Netfilter/iptables hat die Open-Source-Community eine große Zahl von Distributionen entwickelt, die ganz spezifisch auf die Bedürfnisse einer Firewall zugeschnitten sind. Linux besitzt ohnehin viele Vorteile, die es für den Einsatz als Sicherheitsplattform prädestinieren. So kommen linuxbasierte Firewalls mit sehr geringen Hardwareanforderungen aus. Das freut den Heimanwender, der sich aus dem ausrangierten Pentium III eine flotte Firewall baut. Bei einer Web-Abstimmung auf Sourceforge gab die Hälfte aller Teilnehmer an, ihre Firewall laufe auf einem Pentium I, II oder III. Im Notfall, oder wenn eine grafische Oberfläche nicht wichtig ist, genügt für die besprochenen Distributionen schon ein 486er.
Noch wichtiger ist die Genügsamkeit in puncto Leistung für die Industrie. Weil Linux-Firewalls auf Strom sparenden Prozessoren laufen können, benötigen sie keine Lüfterkühlung, sind deshalb geräuschlos und können wasserdicht oder explosionsgeschützt verpackt werden.
Wer eine Linux-Firewall über sein Netzwerk wachen lassen möchte, hat also reichlich Auswahl und kann persönliche Vorlieben, die Voraussetzungen des Netzwerkes und nicht zuletzt die zur Verfügung stehende Hardware in die Entscheidung mit einbeziehen. Gibt es zum Beispiel einen Webserver, der in einer Demilitarisierten Zone (DMZ) stehen soll, muss die Firewall mehrere Netz-Interfaces komfortabel verwalten. Viele Distributionen bieten auch Funktionen an, die über den üblichen Leistungsumfang hinausgehen. Spamfilter und Antivirenlösung sind genauso mit von der Partie wie URL-Filter, VPN-Gateways oder VoIP-Proxys. "Allerdings sollten kleinere Firmen eher auf die Angebote von ISPs und Mailprovidern zurückgreifen", rät Volker Tanger, Sicherheitsconsultant bei Hisolutions. "Der dort angebotene Spam- und Virenschutz ist für kleinere Netze sowohl günstiger als auch deutlich einfacher zu handhaben als auf der Firewall." Sicherheits-Fanatiker werden dem beipflichten: Je mehr Dienste auf einer Firewall laufen, desto anfälliger ist sie für Sicherheitslücken. "Alles weg, was nicht unbedingt sein muss" heißt denn auch die Devise einiger Distributionen. Devil-Linux kommt mit etwa zehn aktiven Prozessen aus.Mittlerweile nutzen viele kommerzielle Firewalls Linux als Grundlage. Explizit bekennen sich Astaro und Gibraltar dazu. Astaro[3] bietet seine Software als fertige Appliance und als reine Software-Lösung an. Sie bringt Mail- und Surfschutz gleich mit. Remote-Management ist damit ebenso möglich wie IPsec-VPNs. An Proxys bietet Astaro HTTP, SMTP, POP2, DNS, SOCKS und SIP - die Firewall kann also auch mit VoIP-Paketen umgehen. Sie liefert auf Wunsch detaillierte Berichte über den Netzwerkverkehr, Verbindungen, Paketfilterverstöße und andere Informationen über den Betrieb. Die Log-Daten lassen sich speichern und in Tabellenkalkulationen oder Berichtssysteme exportieren - praktisch, wenn man das Team über die Geschehnisse im Netzwerk auf dem Laufenden halten oder dem Management Bericht erstatten muss.
Spam- und Spyware-Filter sowie ein IDS komplettieren die Rundum-Firewall. Allerdings brauchen viele Dienste auch entsprechend viel Rechenleistung und Bandbreite. Außerdem muss jemand die IDS-Daten auswerten und auf Alarme reagieren können, sonst wird das System mit seinen beständigen Meldungen schnell zur Last. Astaro bietet eine kostenlose 30-Tage-Testversion an. Die Firewall wird auf der Festplatte installiert. Zielgruppe sind eindeutig kleine und mittlere Unternehmen. Eine kostenlose und unbefristete Home-User-Lizenz bekommt jeder, der sich registrieren lässt. Nur die Spam-Protection und der Update-Service "Maintenance Silver" laufen nach 36 Monaten aus.
Ein Fels in der Brandung
Gibraltar[4] basiert auf Debian Linux. Verantwortlich für die Entwicklung ist die österreichische Firma Esys Informationssysteme. Das Paket startet direkt von der CD-ROM: Wer nicht will, muss es also nicht auf der Festplatte installieren. Das hat den Vorteil, dass sich die Dateien nicht verändern lassen und das System immer im "sauberen" Zustand neu startet, selbst wenn ein Hacker die Dateien zur Laufzeit kompromittieren könnte. Die Konfigurationsdateien liegen schreibgeschützt auf einem externen Laufwerk, einer Diskette oder einem USB-Stick.
Neben den üblichen Funktionen Stateful Packet Inspection, Proxys und VPN-Server bringt Gibraltar noch ein Anonymisierungs-Gateway mit, das IP-Spuren im Internet verwischt. Zusätzlich schützt Gibraltar vor Viren und teilt Benutzern flexibel Bandbreiten zu. Das Benutzerinterface ist webbasiert. Auf Wunsch liefert Esys Gibraltar fix und fertig als Appliance, die von einer Compact-Flash-Karte bootet. Die Software ist als 30-Tage-Testversion auf der Website erhältlich, danach kann man per Mail eine kostenlose Home-Lizenz gegen Registrierung beantragen. Sie unterstützt den vollen Funktionsumfang, ist aber auf fünf MAC-Adressen, also fünf Netzwerkgeräte hinter der Firewall, beschränkt.Immer wieder die gleiche Frage: Warum der teuflische Name? "Es war nur wegen des BSD-Teufelchens", beteuert Heiko Zuerker, Entwickler von Devil-Linux[5]. Seine Linux-Distribution basiert auf BSD und ist frei verfügbar. Die Firma Pantek[6] bietet aber weltweit kommerziellen Support an.
Devil-Linux ist fast eine kleine Universaldistribution: Mit dabei sind neben einem IPsec-VPN-Server mit X.509-Unterstützung, Proxy-Server und IDS auch DNS-, Mail-, FTP- und File-Server sowie Server-Daemons für DHCP- und NTP. Damit bietet Devil-Linux mehr als die meisten Konkurrenten, ist jedoch ein Grauen für alle Puristen, die möglichst wenig laufende Dienste gleichzeitig mit der Firewall auf ihrem Gateway haben möchten. Wer will, kann die Zusatzdienste abschalten. Zurück bleibt dann die reine Firewall.
Devil-Linux hat zwar kein grafisches User-Interface, unterstützt aber den Firewall-Builder[7], mit dem sich die Regeln für iptables festlegen und auf einer Diskette sichern lassen. Firewall-Builder ist wie Guarddog[8] ein Zusatzpaket, um Netfilter/iptables Firewalls zu konfigurieren. Das System startet von CD-ROM, findet aber auch auf einen USB-Stick Platz. Dann muss die Hardware allerdings das Booten von USB beherrschen.Ein populärer Vertreter der Gattung Linux-Firewall ist IPCop[9]. Wer den Netzwerkpolizist installiert, hat sofort einen Router, eine Firewall, einen Proxy-Server (Squid), einen DHCP-Server, einen Caching-Nameserver (dnsmasq) sowie ein Intrusion Detection System (Snort) zur Verfügung. Bandbreitenmanagement, VPN-Server und Dynamic DNS sind ebenfalls eingebaut.
Die Firewall wird auf Festplatte installiert. Konfigurieren lässt sie sich über ein Webinterface. Wer will, kann seinen IPCop mit einer Reihe zusätzlicher Add-Ons erweitern. Die Liste ist ellenlang, vom Viren- und Spamfilter bis zum RAM-Schutz ist alles dabei. Für IPCop gibt es keinen kommerziellen Support, dafür aber aktive Foren und Mailinglisten.
Mini-Firewall als WLAN-Access-Point
Wer einen Paketfilter braucht, der auf kleinstem Raum mit wenigen Ressourcen auskommt, sollte zu Monowall[10] greifen. Die Firewall basiert auf FreeBSD, wurde ursprünglich für Embedded Systems konzipiert und kommt daher mit 5,3 MByte Speicherplatz aus. Trotzdem ist eine grafische Benutzeroberfläche mit dabei.
Neben IP-Filter stehen PPTP und IPsec VPN-Server, sowie Support für Hardware-Crypto-Karten zur Verfügung. Firewall-Regeln werden über einen mitgelieferten Editor festgelegt. Monowall lässt sich auch als Wireless-Access-Point nutzen, wenn man WLAN-Netzwerkkarten mit PRISM-II/2.5 Chips verwendet. Updates holt sich Monowall automatisch per FTP vom Server. Das Entwicklungsteam ist aktiv und gibt im Schnitt alle zwei bis drei Monate eine neue Version heraus.In so manchem Netzwerk soll nicht nur das Innen vor dem Außen geschützt werden, sondern auch untereinander sind nicht alle PCs gleich. Die Linux-Firewall von Securepoint[11] kann Benutzern individuelle Rechte zuweisen, auch wenn sie an einem anderen PC sitzen als sonst.
Mit im Funktionsumfang sind IPsec-VPN-Server, ein Application Layer Gateway und Berichtfunktionen. Spam- und Antiviren-Filter halten ungebetene Mails ab. Ein Content-Filter stellt sicher, dass keine unerwünschten Webseiten auf den PCs der Anwender auftauchen. Die stärkste Seite von Securepoint ist dessen Management. Es gibt eine eigene Anwendung, mit der Firewall-Regeln und VPN-Server konfiguriert werden. Ein IPsec-VPN lässt sich damit in drei Mausklicks einrichten.
Die Firewall gibt es als reine Software-Version und als fertige Appliance. Für den nicht kommerziellen Einsatz ist eine kostenlose Home-User-Lizenz verfügbar, die sogar Support über E-Mail oder das Webportal enthält. Der Virenscanner ist dann abgeschaltet. Sonst hat die Version den vollen Funktionsumfang, einschließlich aller Patches.
Oldie but Goldie
Smoothwall Express[12], auch bekannt als "Smoothwall GPL", gibt es seit 2000. Mittlerweile ist die Code-Base seit zwei Jahren unverändert, Smoothwall Express 3.0 soll Anfang 2007 herauskommen.
Die frei verfügbare Firewall bringt Web-, DNS und NTP-Proxy mit, erlaubt vier VPN-Tunnel mit Site-to-Site-IPsec und Pre-Shared-Key-Authentication. Firewall-Events werden mitgeloggt und angezeigt. Ein DHCP-Server und ein IDS sind mit an Bord. Durch die Installation führt ein Assistent, die Administration erfolgt über den Browser. Wer mehr braucht, bekommt bei Smoothwall auch eine "Advanced"-Version der Firewall - die ist dann aber kostenpflichtig. Sie enthält allerdings echte Profi-Features wie Load-Balancing, Fail-Over und Mail- und Web-Sicherheit sowie User-Authentifizierung über Verzeichnisdienste von Microsoft Active Directory oder LDAP.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/