Firewall - Teil 2
Warum Linux ?12
Gründe für den Einsatz von Linux als Firewall:
- Verfügbarkeit. Für kein anderes Betriebssystem existieren derart viele Kernel-Features und Tools wie für Linux.13
- Verfügbarkeitsstudien zeigen die herausragende Stabilität von Linux.14
- ausgereifter Netzwerkteil, vergleichbar mit dem anderer Unix-Derivate.
- Keine weitere Software neben den Bordmitteln notwendig.
- Fast die gesamte Hardware ist unter Linux lauffähig. Lediglich die neueste Hardware macht hier eine Ausnahme. Hier ist etwas Geduld gefordert, ehe die ersten Treiber verfügbar sind.15
- Im Gegensatz zu kommerziellen Betriebssystemen entfällt bei Linux der Support des Herstellers. Dies wird jedoch durch eine Fülle anderer Supportwege, wie z.B. Newsgroups, Mailing Lists und Online-Dokumentation mehr als ausgeglichen.16
- Das gesamte Betriebssystem, inklusive Dienstprogramme und wichtiger Anwendungen, unterliegt der GPL17 und ist somit kostenlos und frei im Quellcode zugänglich.
Hardwarevoraussetzungen18
Linux ist, verglichen mit anderen Betriebssystemen, weitaus weniger anspruchsvoll, was die verwendete Hardware angeht. Da auf der Linux-Firewall außerdem auf eine grafische Benutzeroberfläche verzichtet werden kann, halten sich die Hardwareanforderungen sehr in Grenzen. IP-Filtering an sich erfordert kaum Rechenzeit. Ein Pentium 60 mit 32 MB Hauptspeicher ist mehr als ausreichend. Die Kapazität der Festplatte des Firewallrechners sollte zwischen einem und zwei Gigabyte liegen, um ausreichend Platz für die Logfiles zu bieten. Besteht kein Interesse am Mitloggen einzelner Aktionen, reichen 500 MB Festplattenkapazität aus. Eine Netzwerkkarte stellt die Verbindung an das interne Netz her. Zusätzlich benötigt man, je nach Anschluß an das Internet, ein Modem, eine ISDN-Karte oder eine zweite Netzwerkkarte, die an den Router führt.
Siehe folgende Grafiken:
){kind=small}
Felix Mack
Abb. 1: Anbindung per Modem/ISDN
Ist die Firewall per Modem oder ISDN-Leitung an das Internet angeschlossen, genügt eine Netzwerkkarte (NIC - Network Interface Card) für die Anbindung an das lokale Netz.
){kind=small}
Felix Mack
Abb. 2: Anbindung per Kabelmodem, Router oder DSL
Bei Einsatz eines Kabelmodems, eines DSL-Routers oder eines vergleichbaren Anschlusses an das Internet ist die Firewall mit zwei Netzwerkkarten auszustatten. Eine für den Anschluß an das Modem oder den Router und eine für die Verbindung zum lokalen Netz.
Softwarevoraussetzungen
Kernel19
Der Linux-Kernel ist der innerste Teil des Betriebssystems. Er stellt ganz elementare Funktionen wie Speicherverwaltung, Prozeßverwaltung und Steuerung der Hardware zur Verfügung. In ihn integriert sind auch die Firewallfunktionen. Der Kernel ist je nach verwendeter Linux-Distribution unterschiedlich konfiguriert. Sollte die FW-Funktionalität noch nicht integriert sein, muß ein neuer Kernel kompiliert werden. Die einzelnen Optionen haben in den verschiedenen Kernelversionen mitunter leicht unterschiedliche Namen und ihre Anzahl variiert. Das folgende Beispiel bezieht sich auf die Kernelversion 2.2.16.
Zu aktivieren sind:
- Networking support (CONFIG_NET)
Aktiviert die allgemeine Netzwerkunterstützung.
- Network firewalls (CONFIG_FIREWALL)
- IP: firewalling (CONFIG_IP_FIREWALL)
Aktiviert die im Kernel integrierten Firewallfunktionen.
- TCP/IP networking (CONFIG_INET)
Unterstützung für das TCP/IP-Protokoll.
- IP: syn cookie support (CONFIG_SYN_COOKIES)
Bindet Kernelcode ein, der SYN Flooding-Angriffe20 abblockt. Der Code muß bei jedem Rechnerstart mit echo 1 > /proc/sys/net/ipv4/tcp_syncookies aktiviert werden.
- IP: masquerading (CONFIG_IP_MASQUERADING)
Aktiviert den NAT-Support im Kernel.
In älteren Versionen des Kernels treten folgende Optionen auf, die zusätzlich zu aktivieren sind:
- Drop source routed packets
Source routed traffic21 wird durch Aktivierung dieser Kerneloption automatisch geblockt.
- IP: always defragment
Defragmentierung von IP-Paketen aktivieren.
- IP: optimize as router not host
- IP forwarding/gatewaying
Routingfähigkeiten aktivieren.
- IP: firewall packetlogging
- IP: accounting
Logging- und Überwachungsfunktionen.
