Linux-Versionen für mehr Security

Es gibt diverse Linux-Distributionen, die mit dem Hauptziel Firewall oder Sicherheit entwickelt werden. Oftmals handelt es sich aber um Hybride, die mehr können, als nur das Netz zu schützen. In diesem Artikel stellen wir Ihnen Open-Source-Distributionen vor, die normalerweise ihr Tun in einem stillen Eck fristen, dennoch aber wichtig sind.
Für viele der hier vorgestellten Firewall- und Router-Distributionen bieten die Entwickler auch professionelle Unterstützung an. Somit eignen sich diese Betriebssysteme hervorragend für den Einsatz in Unternehmen.

Endian Firewall

Die Endian Firewall gibt es als kostenlose Community-Edition. Sie wird aber auch als kommerzielles Produkt angeboten. Zwischen den beiden Produkten gibt es doch gravierende Unterschiede. Für die frei verfügbare Community-Version bekommen Sie zum Beispiel keine kommerzielle Unterstützung von endian. Ebenso gibt es keine Hardware-Ausgabe und die Community-Edition lässt sich nicht als Hotspot einsetzen. Die Firma selbst schlägt die Community-Edition vor, wenn man eine kleine Non-Profit-Organisation hat oder diese im Heimbereich (SOHO) einsetzen möchte.

Endian verträgt sich auch nicht mit anderen Betriebssystemen auf derselben Hardware. Verständlich, denn eine Firewall als Dual-Boot-System würde auch nicht so viel Sinn machen. Dennoch sollten Sie wissen, dass eine Installation sämtliche Daten auf dem jeweiligen Rechner löscht.

Die Installation ist in wenigen Schritten durchgeführt. Sie müssen eigentlich nur bei der Vergabe der IP-Adresse der Schnittstelle GREEN aufpassen. Hierbei handelt es sich um die Netzwerkkarte, die sich im inneren Netzwerk befindet. Mit der hier vergebenen IP-Adresse erreichen Sie später auch die Administrationsoberfläche via Browser. Ebenfalls wissenswert: Nach einer Installation lautet das root-Passwort endian.

Um die Installation vollständig abzuschließen, rufen Sie im Browser https://<IP-Adresse GREEN>:10443 auf. Hier können Sie nun Sprache, Zeitzone und so weiter vergeben. Ebenso müssen Sie die Lizenzbestimmungen anerkennen. Haben Sie eine Datensicherung, können Sie diese ebenfalls einspielen. Während dieser Phase werden Sie auch aufgefordert, die entsprechenden Passwörter zu ändern. In den weiteren Schritten setzen Sie nun die Netzwerkschnittstellen auf und definieren unter anderem die nach außen gehende Schnittstelle ROT.

Alles in allem greift einem der Web-basierte Wizard schon gut unter die Arme und eine Installation ist wirklich in weniger als zehn Minuten durchgeführt. Dies setzt natürlich grundlegende Netzwerkkenntnisse voraus.

Der Teufel steckt im Detail: Devil Linux

Die Entwickler von Devil Linux sagen, dass diese Distribution von IT-Administratoren für IT-Administratoren gemacht wurde. Von daher wisse man, was der Admin so braucht, denn man habe schließlich dieselben Anforderungen.

Das Betriebssystem startet in der Regel von einer CD-ROM, die nur lesbar sein sollte. Aus diesem Grund tun sich Angreifer schwer, zum Beispiel rootkits einzuschleusen. Neuere Ausgaben lassen sich auch mit einem speziell entwickelten Script auf einen USB-Stick installieren und davon starten. Die Konfiguration lässt sich auf einer Diskette oder einem USB-Flash-Gerät speichern.

Traditionell ist Devil Linux eine reine Firewall-Distribution. Allerdings wurde das Betriebssystem über die Jahre weiterentwickelt und lässt sich auch zu mehr einsetzen. Mögliche Server-Dienste, die Devil Linux zur Verfügung stellt sind: Proxy, DNS, Mail mit TLS-Unterstützung inklusive Spam- und Virus-Filter, HTTP, FTP, Datei, VPN mit X.509-Unterstützung, DHCP, NTP und IDS Node.

Normalerweise braucht Devil Linux keine Festplatte. Dies ist natürlich anders, wenn Sie das System als Mail- oder Datei-Server verwenden möchten. Deswegen können Sie natürlich Festplattenspeicher optional einbinden. Devil Linux benutzt hierfür den Logical Volume Manager. Somit ist das Anfügen von Plattenplatz oder das Warten der Massenspeicher relativ einfach.

Wenn man Devil Linux startet, dürfte man zunächst etwas verdutzt sein. Kein Hinweis auf das Standard-Passwort, IP-Adressen oder Installations-Anleitungen. Wenn man es weiß, ist es nicht schwer. Das Standard-Passwort für root ist leer. Nach einem Anmelden hilft der Befehl setup auf der Kommandozeile. Devil Linux erscheint zunächst sehr rudimentär. Ein Stöbern in der Setup-Routine bringt aber ans Licht, dass es sich hier um eine doch recht mächtige Sicherheits-Distribution handelt. Sogar Webmin ließe sich aktivieren, um einer Turnschuh-Administration zu entgehen.

Netzwerkschutz mit Vyatta Linux

Eigentlich lässt sich die Firewall- und Router-Distribution vyatta Linux auch von CD betreiben. Die Entwickler raten davon allerdings ab und zu einer Installation auf die Festplatte. Dies sei einfach komfortabler in einer produktiven Umgebung und man brauche die Konfiguration nicht auf einem externen Datenträger speichern. Nach dem Start von CD benutzen Sie zum Anmelden vyatta als Benutzer und vyatta als Passwort. Mit dem Befehl install-system beginnen Sie den Installations-Vorgang.

Auch hier will das Betriebssystem die Festplatte für sich haben und weist auf einen möglichen Datenverlust hin. Die Installation geht mehr oder weniger automatisch vor sich. Nach einem Neustart können Sie sich mittels des während der Installation vergebenen Passworts anmelden. Doch nun steht man zunächst wie der berühmte Ochs vorm Berg. Keine Hinweise, wie es weitergehen soll, keine IP-Adresse, einfach nichts.

Das Eintippen des Befehls configure hilft nun weiter. Nun ändert sich auch das Zeichen vor dem Eingabemodus von einem $ in ein #. Somit wissen Sie, wann Sie sich im Konfigurations-Modus befinden. Nun können wir den Rechner zunächst erreichbar machen, indem wir der inneren Netzwerkkarte eine IP-Adresse und eine optionale Beschreibung zuweisen: set interfaces ethernet eth0 address 192.168.1.15/24 und set interfaces ethernet eth0 description "inneres LAN". Um die Änderungen wirksam zu machen, tippen Sie nun commit ein und bestätigen dies mittels Eingabetaste. So können Sie das ganze System administrieren, was zugegeben etwas umständlich ist. Im Konfigurations-Modus können Sie aber mittels set service https und commit die Web-Administration aktivieren. Nun erreichen Sie den Server unter https://<IP-Adresse> und können sich mit vyatta und dem vergebenen Passwort anmelden.

Selbst mit Weboberfläche eignet sich Vyatta allerdings nur für Netzwerk-, Router- und Firewall-Kenner. Mittels ausprobieren kommen Sie bei dieser Distribution nicht weit.

Basiert auf FreeBSD: m0n0wall

Das auf Sicherheit getrimmte Betriebssystem m0n0wall fällt etwas aus der Reihe, weil es genau genommen auf FreeBSD basiert. Alle Abbilder dieses Systems sind unter zehn MByte groß. Schön daran ist, dass es ein VMware-Abbild für Experimentierfreudige gibt. Somit muss man m0n0wall nicht installieren, sondern kann sofort loslegen. Wobei eine Installation auch einfach von der Hand geht. Nach dem ersten Start begrüßt Sie m0n0wall mit einem einfachen Konfigurations-Menü. Dort können Sie eine IP-Adresse für das LAN vergeben, über die Sie später die Web-Administrationsoberfläche aufrufen.

Per Standard melden Sie sich mit admin und mono an der Weboberfläche an. Hier sehen Sie nun deutlich, dass es sich bei m0n0wall wenig um einen Hybriden handelt. Es ist das klassische Router-/Firewall-Betriebssystem. Schön ist allerdings, dass m0n0wall einen Traffic Shaper eingebaut hat.

Sieht man sich die Größe der Abbilder an, gibt es wohl kaum mehr Firewall und Router in Bezug auf das Megabyte. Etwas schade, dass OpenVPN nicht integriert ist. Hierzu gibt es einen Eintrag im Handbuch, dass die Entwickler Probleme mit OPT-Schnittstellen in den Beta-Versionen von 1.2 hatten, die bis dato nicht gelöst sind. IPsec und PPTP funktionieren aber.

m0n0wall-Fork: pfSense

pfSense basiert ebenfalls auf FreeBSD. Genau gesagt ist es sogar ein Derivat von m0n0wall, das sich im Jahre 2004 davon abspaltete. Man könnte es fast als ein aufgebohrtes m0n0wall bezeichnen, dass die Basis erweitert. Das System ist in drei verschiedenen Geschmacksrichtungen erhältlich: Eine LiveCD mit Installer, eine Ausgabe zur Installation auf Festplatten und eine Embedded-Version, die sich speziell für Compact-Flash-Karten eignet. Letztere vertragen nur eine gewisse Anzahl an Schreibvorgängen und somit sind die schreibbaren Dateisysteme in den Arbeitsspeicher ausgelagert. Da sich Version 2.0 bereits im Stadium Release-Kandidat 1 befindet, haben wir diese Ausgabe unter die Lupe genommen.

Sehr angenehm fällt auf, dass pfSense nicht nur mit IPsec und PPTP, sondern auch mit OpenVPN und L2TP umgehen kann. pfSense hat zum Beispiel auch S.M.A.R.T.-Monitoring Tools an Bord. Das hat zwar nichts mit Firewall oder Router zu tun, dennoch kann es nicht schaden, wenn der Administrator über eventuell sterbende Festplatte informiert ist. Somit kann er einem Ausfall vorbeugen.

Ebenso dient das von OpenBSD kommende CARP (Common Address Redundancy Protocol) der Ausfallsicherheit. Hier lassen sich zwei oder mehr Firewalls als Faillover konfigurieren. Mittels pfsync kann die Konfiguration des primären Geräts auf die Failover-Rechner übertragen werden. Sollte also die Hauptfirewall ausfallen, springt ein Ersatzmann ein.

Paket-Polizei: IPCop

"Diese bösen Datenpakete stoppen hier", schreiben sich die Entwickler von IPCop auf die Fahnen. Wie bei den meisten anderen beansprucht auch IPCop die komplette Festplatte für sich und löscht die bis dato darauf vorhandenen Daten. Zum Installieren folgen Sie einfach den Anweisungen des Wizards. IPCop stellt die Netzwerk-Schnittstellen GREEN, RED, ORANGE und BLUE zur Verfügung. Die meisten Anwender dürften GREEN, die das Verbindungsglied zum schützenden Netzwerk darstellt, und RED, die nach außen geht, benutzen. ORANGE wäre für DMZ-Verbindungen und BLUE für zusätzliche Access Points.

Nach der Installation erreichen Sie das Web-Frontend via http://<IP-Adresse des IPCop-Rechners>:81.Neben den klassischen Firewall- und Router-Diensten bietet IPCop auch einen Proxy- und DHCP-Server, sowie Dynamische DNS-Dienste. Ebenso können Sie die Netzlast mittels Traffic Shaping regulieren. Einbrüche können Sie via Snort erkennen lassen. Schön ist, dass Sie IPCop komplett auf Deutsch umstellen können.

Die Entwickler arbeiten schon seit längerer Zeit an Version 2.0. Dort werden Sie eine komplett überarbeitete Administrations-Oberfläche und viele neue Funktionen finden. Wann die neue Version verfügbar sein wird ist allerdings noch nicht ganz klar.

Auch für Anfänger geeignet: SmoothWall Express

Das SmoothWall-Projekt gibt es bereits seit dem Jahre 2000. Das Ziel war damals wie heute, einen Rechner in eine gestählte Firewall zu verwandeln. Seit 2005 basiert das Projekt auf dem Linux-Kernel 2.6. Weiteres Ziel der Entwickler ist, dass SmoothWall auch von Heimanwendern ohne großes Linux-Wissen eingesetzt werden kann. Die Administration erfolgt über einen Web-Browser. Breite Hardware-Unterstützung ist ebenfalls im Fokus. Dies gilt natürlich in erster Linie für Netzwerkkarten und Modems.

SmoothWall Express hält, was der Name verspricht. Die Installation ist in weniger als 10 Minuten komplett abgeschlossen. Netterweise bekommt man Hinweise, dass die Web-Administrationsoberfläche mittels http://<IP-Adresse oder Name>:81 oder https://<IP-Adresse oder Name>:441 erreichbar ist.

Mit dem Firewall-System können Sie auch sehr schnell einen Web-Proxy, ein IDS (Intrusion Detection System) und einen pop3-Proxy aufsetzen. Die Administration ist wirklich einfach. Ebenfalls schön ist, dass Anwendern mehrere dynamische IP-Anbieter zur Verfügung stehen. So können Sie ihre Verbindung mit wenigen Klicks zum Beispiel bei DynDNS.org einrichten.

Fazit: Es gibt keinen klaren Gewinner

Alle hier genannten Linux-Distributionen erfüllen die Arbeit gleichermaßen gut, wenn Sie konfiguriert sind. Im Prinzip verwenden sie alle dieselben Komponenten. Sicherlich lassen sich einige komfortabler administrieren als andere oder bieten mehr Funktionen an. Mehr Funktionen bedeuten aber auch mehr Angriffsfläche, was man auf einer Firewall vielleicht gerade vermeiden möchte.

Einen klaren Gewinner auszusuchen wäre unfair. Die verschiedenen Open-Source-Distributionen werden mit leicht unterschiedlichen Hintergründen entwickelt und jede hat eine Daseinsberechtigung. Vielmehr dürfte es Geschmacksache des Administrators sein, mit welcher er sich am wohlsten fühlt. Ein Firewall- oder Router-System muss schließlich funktionieren und nicht hübsch sein.

Administratoren müssen sich also gut überlegen, welchen Zweck das System erfüllen soll. Ebenso sollten Anwender schon eine Ahnung davon haben, was sie hier tun und wie kritisch das Netzwerk hinter der Brandschutzmauer ist. Hat eine Firma das nötige Know-How in den eigenen Reihen, erfüllen kostenlose Community-Editionen sicher ihren Zweck sehr gut. Mit "wird schon passen"-Mentalität und gefährlichem Halbwissen sollte man eine Firewall allerdings nicht administrieren oder aufsetzen.

Je kritischer das Netz dahinter, desto mehr wäre in solch einem Fall am komplett falschen Ende gespart. Die Entwickler der einen oder anderen hier vorgestellten Security-Distributionen bieten professionelle Unterstützung an. Im Zweifel also lieber die Profis ranlassen. (Computerwoche)