IPCop

The bad packets stop here

Das IPCop-Projekt ging 2002 aus dem Smoothwall-Projekt hervor. Nachdem beschlossen wurde, Smoothwall zu kommerzialisieren, haben sich einige der damaligen Entwickler zusammengetan, um eine freie, GPL-basierte Linux-Firewalldistribution zu entwickeln. Der Kern von IPCop ist mittlerweile die Distribution Linux from Scratch, die speziell an die Bedürfnisse einer Firewall angepasst wurde. Nicht benötigte Programme und Funktionen wurden entfernt, andere hinzugefügt und das System entsprechend gehärtet, sodass eine möglichst sichere Umgebung geschaffen wurde.

IPCop glänzt mit der Möglichkeit, standardmäßig vier physisch getrennte Netze zu verwalten und den Datenverkehr zwischen diesen Netzen zu kontrollieren. Die physische Trennung zusammen mit dem mächtigen Werkzeug iptables garantiert somit ein hohes Maß an Sicherheit.

Aktuell ist die Distribution in Version 1.4.18 verfügbar, welche auf dem Linux-Kernel 2.4.34 basiert. Konfiguriert wird IPCop nach der Installation mittels einer passwortgesicherten, webbasierten Benutzeroberfläche.

Wie bei den Hardwarekollegen basiert auch IPCop auf dem NAT-Verfahren (Network Address Translation). Die originalen IP-Adressen der durch die Firewall gesicherten Clients werden maskiert, sodass eine direkte Verbindung zwischen den Clients und dem Internet nicht zustande kommt. Weiterhin werden Pakete, die nicht von einem internen Rechner angefordert wurden, verworfen.

Das System stellt unter anderem folgende Standardfunktionen zur Verfügung:

• DHCP-Server
• Webproxy (Squid)
• VPN (IPSec)
• NTP-Zeitserver

Diese und andere Dienste sind bequem über die Weboberfläche konfigurierbar. Daneben bietet IPCop ausführliche Analysefunktionen und aktuelle Diagramme zum System- und Netzwerkstatus.

Den Betrieb dieser Dienste in einer sicherheitsrelevanten Umgebung kann man durchaus kritisieren. Jeder installierte und aktivierte Dienst stellt eine Angriffsfläche zur Verfügung. Per Design ist aber ein Angriff aus dem Internet faktisch unmöglich, da die Dienste nicht nach außen zur Verfügung gestellt und entsprechende Anforderungen aus dem Internet einfach verworfen werden. Angriffe aus den internen Netzen sind allerdings durchaus möglich! IPCop kann nicht vor Schadsoftware oder böswilligen Mitarbeitern schützen. Auch hier bietet die Community Möglichkeiten an, jedoch sollte man sich der Gefahr immer bewusst sein und entsprechende Maßnahmen ergreifen, um diese so gering wie möglich zu halten.

Thorsten Zieleit

Die vielfältigen Konfigurationsmöglichkeiten des DHCP-Servers - bequem über die Weboberfläche erreichbar

Die eingesetzte Software kann man als stabil, hinreichend sicher und sehr gut getestet ansehen. Der Webproxy Squid zum Beispiel wird in vielen professionellen Großumgebungen eingesetzt.

Vor der Installation sollte man sich ein paar Gedanken über den gewünschten Netzaufbau und das benötigte Sicherheitskonzept machen. Wieviele Clients gibt es? Welche Dienste werden benötigt? Werden WLAN-Geräte eingesetzt? Finden Zugriffe zwischen den Subnetzen statt (Drucker, Dateifreigaben etc.)? Werden Dienste zum Internet angeboten (z. B. Web-/Mailserver)?

Die oben erwähnte physische Trennung der Netze bedingt eine entsprechende Hardwarevoraussetzung. Jedes Netz benötigt im IPCop-PC seine eigene Netzwerkkarte. Sollen mehrere Rechner im jeweiligen Netz vertreten sein, wird mindestens ein Switch (oder Hub) je Netz benötigt.

Thorsten Zieleit

Das durchdachte Routing des IPCop zwischen den Subnetzen

Die jeweiligen Netze werden innerhalb der IPCop-Systematik bestimmten Farben zugewiesen:

• rot - Vor Zugriffen aus diesem Netz sollen alle anderen Netze geschützt werden. Üblicherweise ist dies das Internet. Unterstützt werden, neben der Ethernetanbindung mit und ohne DHCP, auch das Protokoll PPPoE, welches üblicherweise bei ADSL zur Anwendung kommt.
• grün - Clients in diesem Netz sind besonders zu schützen. Zugriffe sämtlicher anderer Netze auf dieses Netz sind nur unter bestimmten Voraussetzungen möglich. Im Normalfall das kabelgebundene LAN.
• blau - Mit spezieller Zugriffskontrolle ausgestattetes Netz, welches als Zugang für grundsätzlich als unsicher anzusehende WLAN-Geräte konzipiert wurde. Diese sollten sich nicht zusammen mit den kabelgebundenen Clients in einem Netz befinden. Ist ein Zugriff auf die Clients in der grünen Zone notwendig, so empfiehlt sich der Einsatz eines VPN. Zudem sollte man für die drahtlose Übertragung immer die höchstmögliche Verschlüsselungsstufe (derzeit WPA2) wählen.
• orange - DMZ (DeMilitarized Zone). Hier findet man z. B. Web-/Mailserver, die naturgemäß aus dem Internet erreichbar sein sollen und entsprechende Dienste zur Verfügung stellen. Spezielle Sicherheitsvorkehrungen unterbinden den Zugriff auf die schützenswerten Netze grün und blau, selbst wenn ein Server in der orangen Zone kompromittiert wurde. Deshalb stehen auch nicht alle o. g. Dienste den Rechnern in der DMZ zur Verfügung.

Hat man sich nun einen Plan zurechtgelegt und die Hardwarevoraussetzungen erfüllt, kann man an die recht einfach gehaltene Installation gehen. Besitzt der zukünftige IPCop-PC ein CD-ROM-Laufwerk, lässt sich IPCop mittels einer bootfähigen CD installieren. Diese und andere Installationsarten findet man in der übersichtlichen Dokumentation genau beschrieben.

Nachträgliche Änderungen am Netzdesign kann man dem System auch ohne Neuinstallation beibringen. An der Konsole gibt man als root angemeldet setup ein. Das daraufhin erscheinende Menü erlaubt tiefgehende Veränderungen und Ergänzungen.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• LinCity-NG 
• openSuse 11.0