Mandrake Security Single Network Firewall 7.2

Julius Stiebert

Bei Mandrakes Single Network Firewall 7.2, im Folgenden als SNF bezeichnet, handelt es sich um das erste aus einer neuen Serie von Sicherheitsprodukten. Diese sind vor allem für den Einsatz in kleinen bis mittelgroßen Unternehmen gedacht. Wir konnten auf dem LinuxTag 2001 ein Rezensionsexemplar ergattern und haben uns die SNF einmal näher angeschaut...

Die SNF kommt relativ bescheiden daher, im Lieferumfang enthalten sind:

• Installation CD (x86)
• Sources CD
• Buch "Installation and User Guide"

Dies reicht aber vollkommen aus, wenn man bedenkt, dass es sich hierbei schließlich um eine Firewall handelt. Auch wenn die SNF auch als Router, Proxy und mehr eingesetzt werden kann, braucht es dafür z. B. keinen X-Server.

Die Distribution ist an sich multilingual, das Handbuch hingegen ist nur in Englisch verfügbar - auch für den deutschen Markt.

Auf knapp 400 Seiten wird einem hierin eigentlich alles erklärt, was zum Umgang mit dem System wichtig ist. Von der Installation bis zur Konfiguration der Firewall, einer Einwahlverbindung und der anderen Komponenten. Sehr positiv aufgefallen ist, dass hier neben der praktischen Anleitungen auch theoretische Einführungen in die jeweilige Materie, beispielsweise den TCP/IP Stack, zu finden sind; dadurch wird das Verständnis wesentlich erleichtert.

Leider fehlt ein Stichwortverzeichnis, sodass die Suche manchmal etwas länger dauert. Das kann auch durch das gute Glossar nicht ausgeglichen werden.

Mit Hilfe der gegebenen Anleitungen sollte es auch Leuten, die noch nicht so viel Linux Erfahrung haben, möglich sein, das System sinnvoll zu konfigurieren. Vorausgesetzt, es sind ausreichend Englischkenntnisse vorhanden. Hier sollte MandrakeSoft auf jeden Fall überlegen, ob es sich für zukünftige Version nicht lohnt einen Übersetzer zu engagieren...

Julius Stiebert

Während der Installation

Zur Installation wird nur die erste CD benötigt, die auch bootfähig ist. Leider ist die SNF, so wie jede Distribution des französischen Softwarehauses, i586 optimiert. Dadurch fällt die Installation auf einem ausrangierten 486er flach. Also wurde das System auf einem Pentium mit 133MHz und 64 MByte RAM eingerichtet, der extra für diesen Test zusammengebastelt wurde. Das Setup verlief wunderbar, nachdem der Rechner von der CD gebootet hatte, erkannte er ohne Probleme die vorhandene SCSI Schnittstelle (Tekram DC-390F). Anschließend wurde die Sicherheitsstufe ausgewählt und mit dem Partitionieren begonnen. Hier sollte DiskDrake zeigen, was es kann. Automatisch teilte es die 2,5 GByte Platte in folgende ext2 Partitionen auf:

/ 228 MB
swap 322 MB
/usr 641 MB
/boot 62 MB
/tmp 98 MB
/var 492 MB
/var/tmp 98 MB
/home 500 MB

Die Vorschläge wurden übernommen, nur dass ich mich entschied, die /, /usr, /var und /home Partitionen in ReiserFS umzuwandeln. Nachdem dies abgeschlossen war, begann die Setuproutine mit dem Kopieren der Daten, was sehr schnell vonstatten ging. Dann konnten das LAN und eine Internetverbindung konfiguriert werden. Das LAN ließ sich ohne weiteres einrichten, die Internetverbindung wollte ich erst einmal nicht einstellen. Nachdem das Root-Paßwort (>= 8 Zeichen) gewählt wurde, bestand die Möglichkeit, einen normalen Nutzer anzulegen. Dann musste noch das Admin-Paßwort (>= 8 Zeichen) gewählt werden; dieses wird später benötigt, um sich im Webinterface einzuloggen.

Damit war die Installation auch schon gelaufen. LILO wurde noch eingerichtet und dann der Reboot durchgeführt.

Die SNF unterstützt die folgenden Funktionen:

• Proxy Squid (manuell, transparent und/oder über Authentifikation)
• Intrusion Detection Systeme Snort und Prélude
• Graphische Tools zum Überwachen der Systemaktivität
• Logging von Netzwerk-Aktivität, Angriffen, Ressourcenverwendung
• Internetzugangskonfiguration für analoge Modems und ISDN, LAN, xDSL und Kabel
• Integrierter DHCP-Server
• "Port Forwarding" verschiedene Zugangsbeschränkungen: eingehender Verkehr, ausgehender Verkehr
• Filtern von URLs ("Parental Control")

Julius Stiebert

System-Monitor im Webinterface

Die zentrale Verwaltung und Konfiguration der SNF wird über ein eigens dafür entwickeltes Webinterface erledigt. Dieses ist über eine mit 128bit gesicherte SSL-Verbindung auf Port 8443 des Firewall-Rechners zu erreichen. In unserem Fall war das dann https://192.168.1.2:8443/.

Hier loggt man sich nun als Admin ein und kann dann das System konfigurieren. Zum einen lassen sich natürlich solch grundlegende Sachen wie die Netzwerkverbindung oder die Internetverbindung einrichten. Aber auch die Firewall, Squid und SquidGuard oder ein DHCP-Server lassen sich konfigurieren. Das Ganze wird durch Monitoringtools abgerundet, beispielsweise zur Traffic-Überwachung.

Für den Test wurde über das Webinterface eine Modemverbindung und Squid als Proxy mit URL-Filter eingerichtet. Dies funktionierte einwandfrei, wobei doch ab und zu mal ein Blick in das Handbuch nötig war. Vor allem sei angemerkt: Wer mit SquidGuard URLs filtern möchte, der sollte sich eine "Blacklist" aus dem Internet besorgen, ansonsten muss man sämtliche zu sperrende Adressen von Hand eingeben. Sehr gut hat mir die Funktion gefallen, mit der man den Internetzugang auf bestimmte Tageszeiten beschränken kann. In einem Büro wird es somit möglich, zu verhindern, dass die Mitarbeiter während der Pausen oder nach Dienstschluss noch surfen.

Fazit: Über das Webinterface lassen sich die Dienste ziemlich einfach von jedermann einrichten. Wer das Handbuch gerade nicht zur Hand hat, findet im integrierten Hilfesystem Unterstützung.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Den Client einrichten 
• Editorial: Ein ungewöhnliches...