IPCOP

Aus Winfwiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

1 Firewalls für kleine und mittelständische Unternehmen auf Basis des OpenSource-Projektes IPCop

http://www.nettpix.de/stuff/bt/bt-ipcop.pdf

1.1 Vorwort

Sicherlich gibt es zum Thema Firewalls bereits zahlreiche Lösungen und Untersuchungen und es wurde auch schon in vielen Varianten bearbeitet. Jede Arbeit hat jedoch, für sich selber gesehen, seine Daseinsberechtigung. So auch diese. Meine Intention bei der Erstellung dieser Arbeit liegt zum einen in der Tatsache, dass es bis zum Zeitpunkt der Erstellung dieser Arbeit keinerlei Literatur in Form eines deutschen Fachbuchs über die Firewall IPCop gab, zum anderen in der Definition der Zielgruppe. Erst mit Fertigstellung dieser Arbeit erscheint ein Buch über die verwendete Firewall IPCop. Daher können auch keine Informationen aus diesem Buch mit in diese Arbeit einfließen.

Trotz einer recht großen Community im Internet und zahlreicher Seiten mit unzähligen Informationen über den IPCop fehlte es bislang immer noch an einem zentralen Werk in dem die wichtigsten Themen gesammelt sind. Die Seiten im Internet beschäftigen sich meist nur mit einem speziellen Thema zur Firewall selbst, beziehungsweise behandeln in erster Linie das dort angebotene AddOn. Weiterführende Informationen sind dort in der Regel nicht erhältlich. Die wohl wichtigsten Anlaufpunkte im Netz sind das deutsche Forum zum IPCop sowie die englischsprachige Projektseite.

Nach Fertigstellung dieser Arbeit beabsichtige ich die Arbeit weiter auszubauen und fortzuführen. Dann möchte ich auf tieferliegende Details eingehen, die innerhalb dieser Arbeit nicht untersucht werden können. Die längerfristige Zielsetzung besteht darin, ein deutsches Fachbuch zum IPCop zu schreiben, welches primär die Absicherung kleiner und mittlerer Netzwerke beschreibt.

Die Zielgruppe der vorliegenden Arbeit sind jedoch, wie im Titel bereits definiert, kleine und mittelständische Unternehmen. Die Größe der in Betracht kommenden Unternehmen sollte bei weniger als 50 Mitarbeitern (Benutzer/Clients) liegen, obwohl in weiteren Ausbaustufen auch eine größere Nutzergruppe möglich ist.

Bei der genannten Zielgruppe liegt allerdings in vielen Fällen das Hauptziel in der Umsetzung von IT-relevanten Themen zu einem geringen Preis. Oft besteht die IT-Abteilung eines solchen Unternehmens aus einem Team von einem bis drei Mitarbeitern (inkl. vorhandener Auszubildenden), die sich mit allen EDV-technischen Themen des Unternehmens beschäftigen. Dazu gehört unter anderem ein Benutzermanagement, Sicherungsmanagement, Installation und Einrichtung der Arbeitsplatzrechner und Server, Wartung und Fehlerbehebung der IT-Infrastruktur sowie die Pflege der hauseigenenWebseiten. In vielen Fällen kommt noch der umfangreiche Bereich der Telekommunikation dazu.

Die Erfahrung meiner mehr als zehn-jährigen Berufslaufbahn zeigt jedoch, dass die Geschäftsleitung, wenn auch zögerlich bereit ist in Sicherheit zu investieren, jedoch nur in beschränktem Maß. Das Management unterliegt oft der Fehleinschätzung, dass das Unternehmen nicht gefährdet sei. Oder noch naiver, dem Management ist bekannt, dass das Unternehmen angegriffen werden kann, dadurch aber kein Schaden entstehen würde. Diese Art der Gefährdungseinschätzung führt dazu, dass es einen ungeschützten Zugang zum Internet gibt. Wenn dann auch noch Serverdienste wie E-Mail, Datenbanken oder Webseiten angeboten werden ohne diese zu schützen, ist es nicht mehr eine Frage, ob das Unternehmen angegriffen wird, sondern wann und wie hoch der Schaden wird. In der Realität sieht es nach eigener Erfahrung und zum Zeitpunkt der Erstellung dieser Arbeit so aus, dass ein nicht geschützter Zugang zum Internet innerhalb der ersten 30 Minuten bereits angegriffen wird.

Schon allein aus diesem Grund betrachte ich es als notwendig, dieser Zielgruppe ein geeignetes Werk(-zeug) zur Verfügung zu stellen, um aufzuklären womit ein einzelner Rechner, ein Netzwerk und somit das gesamte Unternehmen geschützt werden kann.

Die in dieser Arbeit dokumentierte Software IPCop stellt ein solchesWerkzeug dar. Da IPCop als OpenSource-Projekt angeboten wird, ist dieses auch kostenneutral. Lediglich die Anschaffung der Hardware (in der Regel bereits vorhanden), die Einrichtung und der Betrieb stellen noch einen Kostenfaktor dar.

1.2 Inhaltsverzeichnis

  1. Firewall Grundlagen
    1. Angreifer
    2. Angriffsmöglichkeiten
      1. Denial of Service (DoS)
      2. Spoofing
      3. Hijacking
      4. SQL-Injection
    3. Schutzmöglichkeiten durch Firewall Architektur
      1. Paketfilter
      2. Proxy
      3. NAT - Network Address Translation
    4. Einsatzszenarien und Konzepte
  2. IPCop
    1. Netzwerk
    2. Netzwerkkonfiguration
    3. Funktionsumfang
    4. Installation
      1. Hardwarevoraussetzungen
      2. Installationsvorgang
      3. IPCop in virtuellen Maschinen
  3. Konfiguration und Einrichtung der Basismodule
    1. Allgemeine Einstellungen
      1. Updates
      2. Passwörter
      3. SSH-Zugriff
      4. Einstellungen der Benutzeroberfläche
      5. Datensicherung
      6. Herunterfahren
      7. Dank an...
    2. Statusmeldungen
      1. Systemstatus und Diagramme
      2. Verbindungen
    3. Netzwerk
    4. Dienste
      1. WebProxy
      2. DNS-Server
      3. DHCP-Dienst
      4. Zeitserver
      5. Dynamisches-DNS
      6. Intrusion Detection
      7. Traffic Shaping
    5. Firewall
      1. Port-Forwarding
      2. Externer Zugang
      3. DMZ-Schlupflöcher
      4. Firewall Optionen
    6. VPN
  4. Weitere Funktionen und Dienste - AddOns
    1. Quality of Service
    2. BlockOutTraffic
    3. Advanced Proxy
      1. Update Accelerator
      2. Calamaris
    4. URL filter
    5. Copfilter
      1. Quarantäne
      2. Monit
      3. P3Scan
      4. ProxSMTP
      5. HAVP
      6. Privoxy
      7. frox
      8. SpamAssassin
      9. Virenscanner
      10. ClamAV
      11. F-Prot und AVG
      12. Tests und Logs
    6. High Availability - Ucarp
    7. Webalizer
    8. LineTest
    9. GUI-Ports
    10. UPS
    11. SystemInfo
    12. SnortALog
    13. FireWall Logs
    14. RootkitHunter
    15. Coptime
  5. Wartung und Pflege
    1. Updates
    2. Logauswertung
    3. Stabilität
    4. Hilfestellung und Ressourcen
  6. Zusammenfassung


1.3 Einleitung

Abb.1: Logo des IPCop
Abb.1: Logo des IPCop
Abb.2: Logo des IPCop
Abb.2: Logo des IPCop

Die vorliegende Arbeit beschäftigt sich mit dem Thema der Firewall, speziell mit der frei verfügbaren Linux-Distribution IPCop. IPCop ist eine Software, die auf einem Rechner installiert wird und im wesentlichen Routing-Dienste und einen Paket-Filter zur Verfügung stellt. Aktuell ist zum Zeitpunkt der Erstellung dieser Arbeit die Version 1.4.18. welche auch als Grundlage bei der Erstellung dieser Arbeit herangezogen wird. Abbildung 1 und 2 zeigen die Logos des IPCops. Sie dienen als Erkennungsmerkmal.

Die Arbeit richtet sich primär an in EDV-technischen Positionen arbeitende Personen, die sich mit der Planung, Einrichtung und Betreuung eines Netzwerks beschäftigen. Grundlegende Kenntnisse über die Funktion von Netzwerken und Technologien werden für das Verständnis beim Lesen vorausgesetzt. Ebenso empfiehlt es sich, dass der Leser ein Basiswissen im Umgang mit allgemeiner PC-Hardware besitzt. Sekundär ist aber auch jede private Person angesprochen, die den entsprechenden Kenntnisstand besitzt, um im privaten Umfeld ein sicheres Netzwerk unter Verwendung des IPCops einzurichten.

In größeren Netzwerken (als im Titel dieser Arbeit angegeben), wie etwa mit unterschiedlichen Netzwerksegmenten die untereinander auf unterschiedlicher Art und Weise miteinander kommunizieren wird der IPCop eher nicht mehr eingesetzt. Jedoch kann in dezentralen Netzwerken der IPCop als Gateway zur Verwendung kommen um diese Netzwerke untereinander zu verbinden. Die Eignung des IPCops in unterschiedlichen Netzwerken ist dabei ein weiterer Aspekt dieser Arbeit.

Zur übersichtlichen Trennung zwischen Text und Befehlen/Kommandos/Rechnereingaben, wurden solche in kursiver Form abgesetzt.

Vorgehensweise: Begonnen wird mit einer kurz gehaltenen Einführung in die Grundlagen der Arbeitsweise von Firewalls. Wichtige Begriffe werden vorgestellt und es wird auf die Unterschiede verschiedener Firewall-Architekturen und Technologien eingegangen (Kapitel 2). Dabei wird auch auf Angriffs- und Schutzmöglichkeiten eingegangen. Danach wird der IPCop vorgestellt (Kapitel 3).

Ein weiterer Punkt stellt die Kostensituation dar. Dazu wird unter anderem ermittelt, welche Hardware-Anforderungen sich ergeben und welchen Zeitaufwand die Einrichtung und anschließende Wartung der Software erfordert.

Im nächsten Abschnitt (Kapitel 4) wird die Installation und Konfiguration ausführlich erläutert. Dabei wird auch auf weitere Aufgaben der Software und Dienste wie Proxyserver, DHCPServer, Zeitserver, Dynamische DNS Dienste, TrafficShaping, Intrusion Detection und VPN eingegangen. Zusätzlich können durch weitere frei verfügbare AddOns weitere Funktionalitäten der Software hinzugefügt werden. Einige der AddOns wie etwa Spamfilter, Virusfilter und Erweiterung des Proxys sind dabei Teil dieser Arbeit und werden auf Ihren Nutzen und Zweck untersucht.

Nach der Konfiguration werden weitere AddOns vorgestellt, deren Sinn und Zweck, sowie die Vor- und Nachteile dieser im nächsten Abschnitt beschrieben. Unter anderem wird hier über den allgemeinen Einsatz und die Notwendigkeit der diversen AddOns gesprochen (Kapitel 5).

Schließlich gibt es einen Abschnitt in dem Erfahrungswerte zur Stabilität und Wartbarkeit des Systems beschrieben sind. Alle vorgestellten Funktionen wurden dazu installiert und einer ausgiebigen Prüfung unterzogen. Die Ergebnisse finden sich zu den einzelnen Funktionen in den einzelnen Abschnitten und im Gesamten im letzten Abschnitt wieder (Kapitel 6).

Der Leser wird letztlich eine Dokumentation darüber erhalten mit welchen Mitteln er ein stabiles System zur Sicherung des Netzwerkes errichten kann. Dazu werden ihm Empfehlungen zur Installation, Konfiguration und Betrieb zur Verfügung gestellt. Er erhält Informationen über geeignete Maßnahmen zur SPAM- und Viren Bekämpfung und er bekommt darüber hinaus Informationen zur quantitativen und qualitativen Steuerung des Netzwerks via TrafficShaping/QoS und Proxyserver.

1.4 Zusammenfassung

In der heutigen Zeit ist der Einsatz einer Firewall unumgänglich. Nahezu jeder, der einen Computer hat, ist mit diesem in der Regel auch online. Nach einer Studie des Verbands BITKOM haben 70 Prozent aller Bundeshaushalte einen PC. 50 Prozent der Haushalte haben einen Breitbandanschluss für den Zugang zum Internet und 67 Prozent haben eine E-Mailadresse. In Unternehmen ist der Zugang sogar unvermeidlich, da die meisten Geschäftsmodelle die Einbeziehung des Internets voraussetzt. Mindestens basiert jedoch die tägliche Korrespondenz auf einen Zugang zum Netz.

Der Verzicht auf den Einsatz einer Firewall ist vergleichbar mit russischem Roulette oder einem Haus in dem Türen und Fenster offen stehen. Also eine Einladung für jedermann dort einen Besuch abzuhalten um sich mal um zuschauen was es dort alles gibt und für den Besucher von Interesse sein könnte. Im privaten Umfeld ist dies für den Einzelnen sicherlich unangenehm.Wenn allerdings ein Unternehmen einen Fremden, einen Kunden oder gar einen Mitarbeiter auf dieser Art und Weise bittet, sich im Unternehmen genauer zu informieren ist dies für den Geschäftsführer und seine Angestellten schon kritisch und könnte existenzielle Konsequenzen mit sich bringen.

Von allgemeinem Interesse ist es jedoch dann, wenn jedermann sich bei Krankenkassen, Banken oder staatlichen Institutionen Informationen über andere Personen besorgen kann (Kontostände, Lebensverhältnisse, persönliche Daten). Das alles sollte schon Grund genug sein eine Firewall einzusetzen.

IPCop ist ein Mittel der Wahl. Es ist kein Allheilmittel, aber gut genug um schnell, effektiv und zuverlässig seine Daten im Netzwerk zu schützen. Durch den Einsatz einer Firewall darf sich der Benutzer jedoch nicht in Sicherheit wiegen, denn diese kann trügerisch sein. Wie eingangs gezeigt gehört zu einem sicheren Netzwerk nicht nur eine Firewall, denn die meisten Angriffe finden bereits innerhalb des eigenen Netzwerkes statt. Gefahren lauern auf USBSticks, befinden sich in Softwarefehlern oder gar in der Inkompetenz oder Unwissenheit des Anwenders selbst.

Sobald IPCop an einem Zugangspunkt zum Internet installiert ist, ist bereits das dahinter liegende Netzwerk vor Angriffen aus dem Internet geschützt. Mit den gezeigten Funktionen und Diensten lässt sich eine komplexe Infrastruktur aufbauen, die einfach zu administrieren und leicht wartbar bleibt.

Durch den Einsatz weiterer AddOns lassen sich Administration und Wartung (etwa am Beispiel zur Auswertung der Log-Dateien) weiter vereinfachen. Auch können diese dazu dienen IPCop um weitere Funktionen zu ergänzen wie dies etwa die AddOns Advanced Proxy, URLfilter oder Tools zur Erweiterung der Benutzeroberfläche zeigen. Letztlich lässt sich IPCop noch mit einigen AddOns schärfer einstellen und trägt somit zu zusätzlicher Sicherheit bei. Das AddOn BOT etwa in dem es generell alle Verbindungen sperrt und gewollte Verbindungen manuell anhand von Regeln definiert werden müssen. Aber auch mit Copfilter, der ein komplettes Paket an Tools mit sich bringt und auf dem IPCop unter anderem ein E-Mail-Relay erstellt, welches Viren- Spam- und Phishingfilter enthalten.

Die nachstehende Tabelle dient der übersichtlichen Anschauung über den Funktionsumfang und Nutzen des jeweiligen AddOns. Die Anzahl der Sterne repräsentiert dabei den jeweiligen Funktionsgewinn. Die Voraussetzungen zur Nutzung des IPCop sind so gering, das die Anschaffung neuer Hardware in der Regel ausbleiben kann. Die Kosten für die Hardware liegen bei unter hundert Euro sofern keine neue Hardware angeschafft werden muss. Die Einarbeitung und Installation ist innerhalb eines Tages abgeschlossen, und für die Wartung und Auswertung der Logs können ungefähr 20 Minuten am Tag veranschlagt werden, was einem wöchentlichem Aufwand von zwei Stunden entspricht. Die Kosten für den Betrieb sind demnach überschaubar. IPCop kann als flexible und kostengünstige Alternative zu hochpreisigen Firewallsystemen konkurrieren. Der Einsatz in kleinen bis mittelständichen Unternehmen zur Absicherung des Netzwerks wird empfohlen.

AddOn Proxy Performance Sicherheit Stabilität Logging Bemerkung
Quality of Service ** * * Bandbreitenreglementierung
BlockoutTraffic *** * Trafficreglementierung
Advanced Proxy *** *** ** * Umfangreicher Proxy
Update Accelerator * ** * Zwischenspeicher für große Downloads
Calamaris *** Proxylog-Analyse
URL-Filter ** Blocken nicht erwünschter Webseiten
Copfilter ** *** *** SPAM-/Virenfilter
Ucarp *** Überprüfung der Verfügbarkeit
Webalizer ** Proxylog-Analyse
Line-Test *** Überprüfung des Verbindungsstatus
GUI-Ports * Änderung der Standard IPCop-Ports
UPS * Überprüfung der Stromversorgung
SystemInfo ** System-Analyse
SnortALog * ** Log-Analyse
FirewallLog ** ** Log-Analyse
RootKitHunter ** Untersuchung auf RootKits
Coptime * ** Auswertung der Stabilität
Von „http://winfwiki.wi-fom.de/index.php/IPCOP
Persönliche Werkzeuge