Linux hat sich schon lange als Serverbetriebssystem etabliert. Auch auf dem Desktop gewinnt es langsam an Beliebtheit und dank Steam OS und dem Raspberry Pi stürzen sich Spiele- und Multimedia-Bereiche darauf. Auf vielen mobilen Geräten und in integrierten Systemen wie Routern ist Linux ohnehin anzutreffen, wird aber häufig nicht als solches wahrgenommen.
Darüber hinaus existieren diverse Linux-Ausführungen, die speziell für die Absicherung von Netzwerken entwickelt wurden. Häufig sind dies hybride oder "All in One Server"-Lösungen, die sich insbesondere im SoHo- und SMB-Bereich auch für die Bereitstellung von Diensten anbieten. In diesem Artikel stellen wir einige Linux-Distributionen rund um die Sicherheit vor.
Firewall und Router: Endian
Endian Firewall wird vom Hersteller sowohl als kostenlose Community- als auch als zahlpflichtige Enterprise-Version angeboten. Letztere nennt sich Endian UTM (Unified Threat Management). Wie in diesem Bereich üblich, ist die Pro-Version deutlich üppiger ausgestattet: So unterstützt sie beispielsweise eine Verwendung als Hotspot, ist für den Betrieb unter Hypervisoren optimiert und verbindet sich mit bekannten Sicherheitssystemen wie etwa Virenabwehrprodukten von Sophos. Zudem bietet Endian für die Pro-Version auch Support an. Empfohlen wird die kostenpflichtige Variante für kritische Systeme in mittelständischen Unternehmen, während die Community-Version für den Einsatz im SoHo- und unteren SMB-Bereich ausgelegt ist. Eine Online-Demo der Vollversion steht auf der Herstellerseite zur Verfügung.
Bei der Installation der Community Edition fällt als Erstes auf, dass das System vor dem Verlust sämtlicher Daten warnt. Diese Warnung bezieht sich dabei nicht nur auf versehentliche Fehltritte bei der Partitionierung, wie man dies von anderen Linux-Distributionen kennt, sondern bewahrheitet sich nach der Bestätigung des Dialogs: Die Installationsroutine leert vollautomatisch die komplette Festplatte und richtet ohne weitere Eingriffe des Benutzers das Firewall- oder UTM-System ein. Lediglich die IP-Adresse der internen Netzwerkkarte muss noch konfiguriert werden. Dies ist besonders wichtig, um später die weitere Einrichtung von Endian Firewall zu erlauben: Für sämtliche anderen Einstellungen wird das Web-Interface benötigt, das unter der intern mit GREEN betitelten Schnittstelle unter https://<GREEN>:10443 zu erreichen ist. Wer tiefer ins System eingreifen will, dem bietet die Endian Firewall auch eine Shell an, die man direkt am Gerät erreicht. Das Standardpasswort für den root-Zugriff lautet hier übrigens "endian".
Die grafische Konfiguration erfolgt hingegen deutlich komfortabler über den Browser. Das ausgesprochen nutzerfreundlich gestaltete Web-Interface ermöglicht den Zugriff auf sämtliche relevanten Daten und Optionen des Systems. Selbst eine virtuelle Konsole findet sich hier, sodass ein Zugriff über die erwähnte Shell oder über SSH nur im Ausnahmefall nötig sein sollte. Ein Assistent leitet beim ersten Start des Web-Interfaces durch die Grundeinstellungen der Endian Firewall oder Endian UTM. Er bietet zudem die Möglichkeit, eine zuvor erstellte Datensicherung wieder einzuspielen, sodass auch einer Neuinstallation etwa bei großen Versionssprüngen nichts im Wege steht. Nach dem Abschluss des Einrichtungs-Assistenten kann die Endian Firewall dann theoretisch ohne weitere Konfiguration in Betrieb genommen werden kann. Dennoch lohnt sich ein Studium der umfangreichen Menüs, denn hier findet sich eine Fülle von Möglichkeiten. So bringt das System etwa diverse Proxy-Server mit, dank derer nicht nur direkte Angriffe, sondern auch andere Gefahren wie Viren und Spam aus dem internen Netzwerk ferngehalten werden können. Die bekannte UTM-Anwendung SNORT ist ebenfalls mit an Bord.
Alles in allem ist Endian Firewall Community Edition sehr einfach zu handhaben und in kurzer Zeit zu installieren. Mit rund 750 MByte nimmt das System nur wenig Plattenplatz ein und lässt sich durch das Web-Interface ausgesprochen komfortabel bedienen. Zwar benötigt man einige Netzwerkkenntnisse und sollte auch mit den Grundsätzen von Linux-Systemen umgehen können, doch selbst absolute Anfänger stellt die Firewall nicht vor unüberwindbare Hürden.
Devil Linux: von Admins für Admins
Laut den Entwicklern von Devil Linux wurde die Distribution von Administratoren für Administratoren entwickelt. Entsprechend bedient sie sich auch: Im Gegensatz zur soeben vorgestellten Endian-Firewall bringt sie keine eigens erstellte Weboberfläche mit, sondern muss über die Kommandozeile konfiguriert werden. Auch der Grundansatz ist ein anderer, denn Devil Linux wird als Live-CD betrieben, um maximalen Schutz vor einer Veränderung der Systemdaten zu bieten. Die Konfiguration speichert man auf einem Wechselmedium, also zum Beispiel auf einem USB-Stick. Dafür ist keine Installation notwendig, Updates sind mit einem Wechsel der CD erledigt, und der Nutzer ist wenige Sekunden nach dem Start des Rechners mit einer umfangreichen Firewall ausgerüstet.
Doch Devil Linux kann mehr als das, denn ausgehend von einer reinen Firewall-Distribution entwickelte sich das System über die Jahre zum Server. Die Liste der mitgelieferten Dienste ist enorm: Proxys, DNS, Mail mit TLS-Unterstützung, Spamfilter, Virenfilter, Apache, MySQL, FTP, VPN mit X.509-Unterstützung, NTP, SNORT, Samba und NFS sind nur einige Beispiele aus der langen Liste. Die Aktivierung erfolgt über ein recht schmal gehaltenes Konfigurationsprogramm, das nach einem Login als root mit leerem Passwort und der Eingabe von "setup" auf der Kommandozeile zu erreichen ist. Hier finden sich auch die Optionen zu den Netzwerkkarten, dem DHCP-Server, der Zeitzone und einigen weiteren Grundeinstellungen. Als Alternative zur manuellen Konfiguration wird im Übrigen das bekannte Administrations-Front-End webmin mitgeliefert, das ebenfalls im Menüpunkt "Services" gestartet werden kann.
Bei Bedarf lässt sich Devil Linux auch so konfigurieren, dass es eine verbaute Festplatte für die Bereitstellung von Daten nutzt. Hierfür kommt der Logical Volume Manager zum Einsatz, die flexible Handhabung von Partitionen fällt also leicht. Aufgrund der Verteilung als Live-CD sind tiefere Eingriffe ins System allerdings trotz der LFS-Basis nicht gerade trivial. Daher werden sich mit Devil Linux insbesondere jene Administratoren wohlfühlen, die mit der umfangreichen Softwaresammlung zufrieden sind, sich nicht vor der Kommandozeile scheuen und die durch den Ansatz gewährleistete zusätzliche Sicherheit besonders zu schätzen wissen.
Mit Vyatta das Netzwerk schützen
Vyatta ist in der Zwischenzeit ein Teil von Brocade geworden und das Produkt nennt sich Brocade Vyatta vRouter. Brocade hat Vyatta übernommen, um das eigene Protfolio in Bezug auf Netzwerk-Virtualisierung, SDN (Software-defined Networking), sowie private und Public Clouds aufzubessern.
Besonders attraktiv sei laut eigenen Angaben die Produkt-Palette von Vyatta. Dazu gehören fortschrittliches Routing, Security und VPN-Funktionalität für physische, virtuelle und Cloud-Netzwerk-Umgebungen. Vyatta war Pionier, das erste Plattform-unabhängige Netzwerk-Betriebssystem zu erschaffen. Es nennt sich Vyatta Network OS.
Brocade setzt Vyatta-Technologie ein, um den Kunden eine End-to-End-Architektur zu bieten, die auf einer virtualisierte und dynamischen Netzwerk-Infrastruktur basiert.
Zu den Hauptfunktionen gehören fortschrittliches IPv4- und IPv6-Unicast und -Multicast. Weiterhin bietet der Brocade Vyatta vRouter Stateful Firewall, IPsec, SSL-basiertes OpenVPN und DMVPN.
Ebenso ist Unterstützung für diverse Hypervisoren vorhanden. Dazu gehören VMware ESX, Cistrix XEN und XENserver, Microsoft Hyper-V und Red Hat KVM. Die Verwaltung führen Sie mithilfe einer Web-GUI durch. Möglich sind auch CLI (Command Line Interface), sowie der Zugriff mithilfe einer RESTful API.
Die umfangreiche Web-Oberfläche dürfte Administratoren entgegen kommen. Damit lässt sich das komplette System verwalten. Allerdings sollten Sie nicht davon ausgehen, dass die Administration für Anfänger geeignet ist. Ein gesundes Maß an Netzwerkkenntnissen ist ein absolutes Muss und für einen sinnvollen Einsatz ist ein Studium der Dokumentation zwingend notwendig. Das Produkt richtet sich in erster Linie an Business-Anwender mit virtualisierten Data Centern, SDN und so weiter.
Nach der Übernahme durch Brocade gibt es leider keine kostenlose Community-Version mehr, wie das zuvor der Fall war. Wollen Sie einen Brocade Vyatta 5400 vRouter testen, können Sie eine kostenlose Testversion beantragen. Brocade wirbt damit, dass Sie für die Test-Version 24/7-Support erhalten.
Abbild unter 25 MByte: m0n0wall
m0n0wall ist mit einem Image von nur rund 25 MByte die kleinste der hier vorgestellten Firewall-Systeme. Im Gegensatz zu all den anderen Systemen mit Ausnahme von pfSense basiert m0n0wall auf FreeBSD, dem insbesondere für seine extrem hohen Sicherheitsstandards bekannten UNIX-Derivat. m0n0wall wird in verschiedenen Varianten angeboten. Neben einem Standard-Image für PC finden sich auf der Website des Projekts auch eine Embedded- und eine VM-Version. Doch auch die Standardvariante bedarf keiner Installation und kann sofort von CD betrieben werden. Plant man jedoch Neustarts des Routers ein, so empfiehlt sich die Installation auf eine Festplatte.
Diese lässt sich dank seiner Einfachheit und dem intuitiv bedienbaren Konfigurationsmenü durchführen. Beinahe ohne Intervention des Benutzers richtet sich m0n0wall dann vollständig ein und startet automatisch neu. In unserem Test war der vollständige Prozess vom Beginn des Boot-Vorgangs bis zum Neustart in weniger als einer Minute erledigt, große Umstände braucht man also nicht zu erwarten. Nach dem Neustart begrüßt den Nutzer dasselbe Konfigurationsmenü, in dem nun zuerst die Netzwerkkarten konfiguriert werden müssen. Insbesondere für jene, die mit BSD bisher nichts zu tun hatten, ist dies wenig intuitiv, die Dokumentation hilft jedoch aus: Man ruft den ersten Punkt auf und weist im einfachsten Fall em0 und em1 jeweils der internen oder der externen Netzwerkkarte zu. Anschließend muss noch die IP-Adresse der internen Schnittstelle konfiguriert werden, was über den zweiten Punkt vorgenommen werden kann.
Der Rest der Konfiguration wird durch ein übersichtliches Web-Interface vorgenommen, das unter der soeben konfigurierten IP mit dem Login admin:mono zu erreichen ist. Hier zeigt sich schnell, dass m0n0wall bei Weitem nicht so umfangreich ist wie die meisten anderen hier vorgestellten Systeme - es handelt sich um eine klassische Kombination aus Router und Firewall ohne große Zusatzspielereien. Dennoch findet man hier vieles, was man in etwa von einem Oberklasse-Router für den Privatgebrauch erwarten kann, so etwa Traffic Shaper, VPN-Unterstützung und dynamisches DNS. Ein Statusbildschirm gibt zudem einen Überblick über die wichtigsten Eckdaten des Systems.
Als Fazit lässt sich festhalten, dass m0n0wall ein außerordentlich einfach einzurichtendes, jedoch in seinen Möglichkeiten recht beschränktes System ist. Wer allerdings bereits einen Server betreibt und auf eine DMZ verzichten kann, der findet hier ein zuverlässiges, sicheres und vor allem sehr nutzerfreundliches BSD-Derivat, das viele Bedürfnisse kleinerer Netze befriedigen kann.
Auf FreeBSD basierend: pfSense
Auch pfSense basiert auf FreeBSD, bedient sich also der gleichen soliden Basis wie m0n0wall. Das ist auch nicht weiter verwunderlich, denn pfSense ist ein Derivat von m0n0wall, das sich im Jahre 2004 von dem Projekt abspaltete. Es ist gegenüber der kleineren Distribution um einige Möglichkeiten erweitert und verfügt auch über ein anderes Nutzer-Interface. Wie auch m0n0wall wird pfSense in verschiedenen Varianten für diverse Umgebungen angeboten, kann also auch in einer Ausgabe für Embedded-Systeme heruntergeladen werden. Diese berücksichtigt zum Beispiel die begrenzte Zahl von Schreibvorgängen auf Compact-Flash-Karten und verlagert sich in den Arbeitsspeicher Für eine Standardinstallation wählt man aber am besten pfSense-<Version>-RELEASE-<arch>.iso.gz zum Download.
Sehr angenehm fällt auf, dass pfSense nicht nur mit IPSec und PPTP, sondern auch mit OpenVPN und L2TP umgehen kann. Außerdem hat die Firewall zum Beispiel auch S.M.A.R.T.-Monitoring-Tools an Bord. Das hat zwar nichts mit Firewall oder Router zu tun, dennoch kann es nicht schaden, wenn der Administrator über eine eventuell kaputtgehende Festplatte informiert ist.
Ebenso dient das von OpenBSD kommende CARP (Common Address Redundancy Protocol) der Ausfallsicherheit. Hier lassen sich zwei oder mehr Firewalls als Failover konfigurieren. Mittels pfsync kann die Konfiguration des primären Geräts auf die Failover-Rechner übertragen werden. Sollte also die Haupt-Firewall ausfallen, springt ein Ersatzmann ein.
Die Installation von pfSense gestaltet sich ähnlich simpel wie bei m0n0wall, wobei bei der Installation selbst einige Optionen mehr zur Auswahl stehen, wohingegen die Konfiguration automatisiert als Skript abläuft. Dies beugt der Verwirrung des Benutzers vor, sodass man sich schneller im neu designten Web-Interface wiederfindet. Dieses wird mit Drop-Down-Menüs bedient, die die umfangreichen Optionen übersichtlich gliedern. Ob man dies dem einfachen Textmenü von m0n0wall vorzieht, ist wohl Geschmackssache.
Theoretisch lässt sich pfSense auf einem Pentium II mit 256 MByte RAM betreiben. Allerdings kommt es an dieser Stelle sehr darauf an, wie viele Benutzer an der Firewall hängen und wie viel Durchsatz verwaltet werden muss. Bei über 500 Mbps raten die Entwickler definitiv zu Hardware der Server-Klasse mit mehreren CPU-Kernen und mindestens 2 GHz. Selbst bei zehn bis 20 Mbps sollte die Hardware laut eigenen Aussagen nicht älter als vier Jahre sein.
Wer kompatible Hardware für pfSense sucht, sollte sich bei Netgate, Hacom oder http://www.osnet.eu/ umsehen. Diese Firmen verwenden auch die Entwickler der Firewall-Distribution und somit ist garantiert, dass pfSense auch ohne Probleme läuft. Weiterhin können Unternehmen professionellen Support für pfSense erwerben.
Die Netzpolizei: IPCop
"Die bösen Datenpakete stoppen hier", schreiben sich die Entwickler von IPCop auf die Fahnen. Die mit rund 60 MByte recht handlich ausgefallene Distribution ist der Vater der eingangs vorgestellten Endian-Firewall und verhält sich an vielen Stellen sehr ähnlich. So duldet auch IPCop keine weiteren Betriebssysteme neben sich und löscht die komplette Festplatte unwiederbringlich.
Die Installation geht schnell von der Hand - der Wizard ist einfach gehalten, und die meisten Einstellungen erklären sich von selbst. Man sollte jedoch wissen, dass wie bei Endian Firewall die Codes GREEN und RED für die interne beziehungsweise externe Schnittstelle verwendet werden. Außerdem stehen auch ORANGE und BLUE für die DMZ und das WLAN zur Verfügung.
Hat man alles richtig gemacht, so bedarf es nach der Installation keiner weiteren Handlungen am Router selbst, denn der Rest der Einstellungen wird über ein Web-Interface vorgenommen. Dieses findet sich unter der zuvor konfigurierten IP-Adresse der Schnittstelle GREEN. Neben den klassischen Firewall- und Router-Diensten bietet IPCop auch einen Proxy- und DHCP-Server sowie dynamische DNS-Dienste. Ebenso kann der Anwender die Netzlast mittels Traffic Shaping regulieren. Schön ist, dass sich IPCop komplett auf die deutsche Ausgabe umstellen lässt.
Insgesamt ist IPCop ähnlich angenehm zu nutzen wie Endian, ist aber um einiges schlanker gehalten. Dies empfiehlt die Distribution vor allem für den Einsatz auf schwächeren Rechnern, insbesondere, wenn an den unter Endian zu findenden Zusatzfunktionen kein Bedarf besteht. Auch die Bedienung gestaltet sich leicht unterschiedlich - wer also mit dem Abkömmlich nicht ganz zufrieden ist, für den ist IPCop allemal einen Blick wert.
Übersichtlich: SmoothWall Express
Das SmoothWall-Projekt gibt es bereits seit dem Jahr 2000. Entsprechend groß ist die Reputation der Software, die immerhin die ebenfalls hier vorgestellten Projekte IPCop und Endian Firewall hervorgebracht hat. Ganz im Fokus steht bei SmoothWall die Nutzerfreundlichkeit, denn als die erste Version der Distribution erschien, erforderte die Einrichtung eines Linux-Routers noch einiges an Netzwerkkenntnissen. Demgegenüber kann SmoothWall auch von Laien komfortabel eingerichtet werden, ohne an Funktionalität zu verlieren.
Die Installation verläuft sehr ähnlich wie bei Endian und IPCop - wieder wird vor dem vollständigen und unwiderruflichen Datenverlust auf der Festplatte gewarnt, und wieder müssen fast nur die Netzwerkschnittstellen GREEN für das interne und RED für das externe Netz konfiguriert werden. Eine weitergehende Vertrautheit mit der Terminologie ist nicht erforderlich. Abschließend erhält man den Hinweis, dass das System nach einem Neustart unter http://<GREEN>:81 oder https://<GREEN>:441 zu erreichen ist. Über die dort zu findende Weboberfläche erfolgt dann die eigentliche Konfiguration.
SmoothWall Express hat sich hier stark von seinen Ursprüngen aus weiterentwickelt und steht trotz der erfolgten Abspaltungen als gleichwertige Konkurrenz neben IPCop und Endian. Das System bringt viele mächtige Werkzeuge mit, und neben Grundfunktionen wie DHCP oder Dynamic DNS findet man zum Beispiel auch VPN-Unterstützung und Virenschutz. Besonders hervorzuheben sind zudem die umfangreichen Statusinformationen, die auch vielfältig grafisch aufbereitet werden. Die Oberfläche selbst bedient sich ähnlich wie bei der Konkurrenz, unterscheidet sich aber hie und da, zum Beispiel in der sehr praktischen Kombination aus Drop-Down-Menü- und Tab-Bedienung.
Zu erwähnen ist darüber hinaus, dass SmoothWall im Gegensatz zu IPCop und Endian einige vorkonfigurierte Abwehrprofile mitbringt, die während der Installation ausgewählt werden können. Diese sind zum Teil sehr restriktiv - in der Standardeinstellung blockierte die Firewall zum Beispiel die DNS-Anfragen unseres Testrechners. Je nach Herangehensweise kann man dies als Arbeitserleichterung oder als Problem auffassen. Dankenswerterweise stehen aber umfangreiche Logs zum Abruf bereit, in denen auch die so blockierten Pakete aufgeführt sind.
Wenn man die Oberfläche als ästhetisch ansprechend empfindet, so macht SmoothWall einen sehr guten Eindruck und bleibt beileibe nicht hinter den anderen Mitgliedern des Stammbaums zurück. Wie auch bei IPCop und Endian sollte man sorgfältig prüfen, welche Funktionen welche Distribution mitbringt und wie sie sich bedient, denn die Gemeinsamkeiten sind viel größer als die Unterschiede.
In der Ankündigung zu Smoothwall Express 3.1 ist zu lesen, dass eine Installation unter den Hypervisoren KVM, VirtualBox, VMware, Microsoft Hyper-V nd Xen unterstützt ist. Das gilt auch für die Standard-virtio-Treiber.
Fazit
Alle hier genannten Distributionen erfüllen die Aufgabe als Router und Firewall gleichermaßen gut - wenn sie entsprechend konfiguriert sind. Im Prinzip verwenden sie alle ähnliche Komponenten. Sicherlich lassen sich einige komfortabler administrieren als andere oder bieten mehr Funktionen an, doch mehr Funktionen bedeuten aber auch mehr Angriffsfläche. Dies läuft dem Sinn und Zweck einer Firewall zuwider und kann nur in bestimmten Szenarien empfohlen werden. Einen klaren Gewinner zu küren ist daher nicht angebracht.
Die verschiedenen Distributionen werden mit leicht unterschiedlichen Zielsetzungen entwickelt, und jede hat ihre Daseinsberechtigung. Es dürfte Geschmacksache des Administrators sein, mit welcher er sich am wohlsten fühlt. Bei einer Firewall oder einem Router sollte das Augenmerk ohnehin mehr auf der Sicherheit als auf dem Komfort liegen - einmal eingerichtet, lassen sich die Systeme oft unverändert für lange Zeit betreiben.
Administratoren müssen sich also gut überlegen, welchen Zweck das System erfüllen soll und welche Distribution hierfür am besten geeignet ist. Ebenso sollten Anwender beurteilen können, wie kritisch das Netzwerk hinter der Brandschutzmauer auf der einen Hand ist und welche IT-Ressourcen auf der anderen Hand zur Verfügung stehen. Hat eine Firma das nötige Know-how in den eigenen Reihen, erfüllen kostenlose Community-Editionen sicher ihren Zweck sehr gut.
Mit "Wird schon passen"-Mentalität und gefährlichem Halbwissen sollte man eine Firewall allerdings nicht administrieren oder aufsetzen. Je kritischer das Netz dahinter ist, desto mehr wäre in solch einem Fall am komplett falschen Ende gespart. Die Entwickler der einen oder anderen hier vorgestellten Sicherheitsdistribution bieten professionelle Unterstützung an - im Zweifel also lieber die Profis ranlassen. (mje)