Jo's Linux Firewall Howto: Wozu Router und Firewall
Wozu braucht man 1 Router?
Spätestens wenn die 2-Mensch-WG gleichzeitig zu 2 verschiedenen URLs surfen will, entsteht das Problem: wie macht man das mit nur 1 Telefonleitung für beide / alle? Oder muß man wirklich pro PC 1 Telefonleitung verwenden?
Die Lösung des Problems ist ein Heim-Netz, also ein lokales Netz mit welchem die PCs untereinander und mit einem Router verbunden sind, welcher die Verbindung zum Internet herstellt. Dieser wird, weil der das Tor zur weiten Welt darstellt, auch Gateway genannt. An dieser Schnittstelle zur Außenwelt ist auch eine ideale Stelle, sich vor unbefugten Zugriffen von außen (oder nach außen!) zu schützen. Dazu dient 1 sogenannte Firewall.
Wer genug Geld hat (so ab ca. 100,- EUR) und keine Lust auf Arbeit, kann sich einen ISDN-Router als Fertig-Gerät zulegen. Wer aber entweder sparen will, oder einmal wirklich verstehen will, wie sowas funktioniert, oder wer spezielle Dinge mit seinem Router anstellen möchte, die über die Leistungsfähigkeit eines Fertig-Gateways hinausgehen, der baut sich sowas selbst:
Der Gateway-Rechner ist (meist) ein eigener PC. Wenn dieser im wesentlichen nur als Router mit Firewall dient, tut es hier bereits ein abgelegter '386er. Denn eine ISDN-Verbindung liefert die Daten nur mit 64 kBit pro Sekunde. Das ist langsamer, als 1 Diskettenlaufwerk und damit konnte schon weiland ein '286er umgehen ;-). Um allerdings die Funktionen für 1 solche Firewall ausführen zu können, muß man ein halbwegs aktuelles Betriebssystem verwendet und dies setzt üblicherweise mind. 1 '386er voraus. Außerdem sind mind. 32 MB RAM und 500 MB Festplattenkapazität erforderlich. Damit ist dann allerdings auch problemlos DSL mit 1,5 MBit/s zu routen, mehr Rechenleistung währe schon Verschwendung.
Als nächstes benötigt man dann die Software für diesen Zweck. Dafür bietet sich Linux an (Warum kommt später).
So, was jetzt noch fehlt, ist eine einfache Anleitung, quasi ein Kochrezept, nach dem man dieses System installieren kann. Ein solches Kochrezept soll dieses Sammlung hier sein. Bei den offiziellen Linux Dokumentationen bezeichnet man dies als How To (sprich: Hau tuh, engl. für Wie zu). Hier wird ein (genaugenommen: mein) Beispiel gezeigt, wie ein solches System aussehen kann und was man damit tun muß, damit es läuft. Nachdem ich mich durch diverse Dokumentationen gekämpft habe, habe ich hier dokumentiert, welche Einstellungen man vornehmen muß und wo man jeweils weitere Informationen bekommt.
Was genau ist eigentlich 1 Firewall?
Nun, das ist nicht genau definiert. Firewall ist englisch für Brand[schutz]mauer - also keine Feuerwand! Sie kann, wie auch ihr bautechnisches Vorbild, auf verschiedene Art und Weise aufgebaut sein:
- Paketfilter als Firewall in einem Router. Dies ist (im wesentlichen) die Art von Firewall, die ich hier beschreibe. Hierbei werden üblicherweise komplette Netze mitaneinder verbunden bzw. vonander getrennt. Das eigentliche Paketfilter wird hier in ipchains.html beschrieben. Ein solches Filter ist u. U. recht komplex, aber dafür auch sehr vielseitig. Mit dieser Art lassen sich relativ sichere Firewalls aufbauen - solange man den Überblick über die Filter behält, was bei komplexeren Filtern nicht mehr ganz einfach ist.
- Proxies als Firewall. Proxies sind Stellvertreterapplikationen, die die eigentlichen Zugriffe ausführen. Hierbei greift z. B. der Web-Browser auf den Proxy zu und dieser wiederum aufs Internet. Bei dieser Art von Firewall muß kein direkter Zugriff vom internen Netz aufs das externe Netz möglich sein. Lediglich der Gateway-Rechner, auf dem der Proxy läuft, ist an beide Netze angeschlossen, leitet aber keine Pakete weiter. Dies erlaubt den Aufbau sehr sicherer Firewalls, bringt aber z. T. recht deutliche Einschränkungen mit sich. Manche Web-Sites lassen sich nämlich nicht (vernünftig) über Proxies ansprechen. Das ist zwar meist 1 Zeichen für 1 schlecht programmierte Site, aber manchmal will man eben doch dahin.
- Auch Contenfilter (Inhaltsfilter) stellen 1 Firewallfunktionalität dar. Hier wird z. B. auf einem Mailserver der Inhalt aller eMails gefiltert. Dieses Filtern kann z. B. durch Verwerfen bekannter Mail-Würmer (z. B. "I-LOVE-YOU"), durch Löschen von (unerwünschten) Anhängen oder auch durch Virenscan jedes Anhangs geschehen. Ebenso sind Filter für Web-Inhalte denkbar. Meist werden diese Filter wiederum in Proxies realisiert.
- Sog. Personal Firewalls. Hierbei handelt es sich um Zusatzsoftware auf dem jeweiligen PC / Workstation, welche meist einzelnen Programmen den Zugriff auf das Netzwerk bzw. bestimmte Adressen oder Ports erlaubt oder verweigert. Diese Personal Firewalls können auch Paktefilter enthalten. Auch Surf-Filter für Kinder stellen 1 Personal Firewall dar. Nachteilig ist hierbei, daß die Software auf dem selben Rechner läuft und daher - insbesondere bei Windows-Systemen - durch 1 Programm auf dem selben Rechner oder 1 schlaueres Kind / Mitarbeiter recht leicht umgangen werden kann.
Eine Firewall kann natürlich auch aus einer Kombination aus Paketfilter, Proxy und z. B. Mailfilter bestehen. Solange alle diese Dinge in einem Rechner ablaufen, spricht man weiterhin von 1 Firewall. (Auch im Baugewerbe sind Brandschutzmauern unter Umständen aus mehreren Lagen aufgebaut.) Wer ganz auf Nummer sicher gehen will, kaskadiert mehrere Firewalls: z. B. als äußere Firewall ein Linux-System mit Paketfilter und danach ein NT-System mit Proxy - Hier kommt nur jemand durch, der die Lücken mehrerer Betriebssysteme und Programmpakete kennt.
Allerdings macht eine Firewall nur Sinn, wenn sie in ein entsprechendes Sicherheitskonzept eingebunden ist. Wer fleißig auf jeden Anhang klickt, jede beliebige Software blind herunterläd und sich nicht mit Sicherheitsanforderungen beschäftigen möchte, der braucht auch keine Firewall. Die meisten Bedrohungen kommen nämlich nicht von außen, sondern von innen.
Insgesamt gilt: Je weniger Dienste benötigt und somit zugelassen werden, um so sicherer wird die Firewall. Wenn also nur www und email benötigt werden, brauchen nur wenige Dienste durch die Firewall durchkommen zu können und die Zahl der möglichen Angriffspunkte ist recht klein. Wird auch noch ftp, telnet, snmp, ... benötigt, so wird es immer schwieriger, 1 wirklich sicheren Zugang aufzubauen. Insbesondere, weil die Gefahren, gegen die man sich schützen will, auf beiden Seiten der Firewall lauern.
Weiter mit: Warum (um alles in der Welt) eigentlich Linux?
Urheber © Dr. Joachim Wiesemann
Letzte Aktualisierung: 19.11.2022
www.JWiesemann.de
Für Anregungen und Kritik: feedback@jwiesemann.de