Eine einfache Firewall-Lösung

Walter Selos

Da des Öfteren seitens der Institute der Wunsch geäußert wurde, den Netzwerk-Verkehr aus Sicherheitsgründen filtern und überwachen zu können, habe wir eine einfache Firewall-Lösung auf LINUX-Basis entwickelt.

Folgende Zielsetzungen wurden dabei besonders berücksichtigt:

geringe Kosten: Es reicht ein PC mit Diskettenlaufwerk und 2 Ethernetkarten, eine optionale Festplatte dient nur zum Abspeichern eines Logfiles. Die Diskette mit dem Betriebssystem ist schreibgeschützt und dient nur für den Bootvorgang.
Während des Betriebes läuft alles in einer RAM-Disk, d. h. keine Probleme bei Stromausfall oder Einbruchsversuchen übers Netz.
Als Hardwarevoraussetzungen genügt ein Pentium oder AMD Prozessor mit >= 300 MHz Taktrate und ca. 64 MB RAM.
Robustheit: Ist durch die Stabilität des LINUX-Kernels und die RAM-Disk-Lösung gewährleistet.
Einfachheit/Betriebssicherheit: Der Einsatz des Gerätes macht keine softwaremäßigen Konfigurationsarbeiten an den übrigen Netzwerkknoten notwendig.
Sollte das Gerät ausfallen, kann es durch ein adäquates Patchkabel überbrückt werden. Freilich fehlt dann die Firewall-Funktionalität, aber der Weiterbetrieb des Netzes ist gewährleistet.
einfache Konfiguration: Die Diskette ist als FAT-Filesystem formatiert. Damit können auf jedem Windows- oder DOS-Computer die zwei Konfigurationsdateien editiert werden. (In der einen werden die Netzwerk-Konfiguration, in der anderen die Filterregeln eingetragen.) Ein Neustart macht die neue Konfiguration wirksam.

Das Problem wurde so gelöst, dass der Linuxkernel mit einer Option compiliert wurde, die es ihm ermöglicht, als "Ethernet-Bridge" zu funktionieren, während ein zusätzlicher Kernelpatch es ermöglicht, die eingebaute Paketfilterfunktion (ipchains) auch auf die Bridgefunktion anzuwenden. Es werden aber auch andere Möglichkeiten wie z. B. IP-Masquerading unterstützt, mit der man ein privates Netz hinter einer einzigen IP-Adresse verstecken kann.

Die wichtigste Voraussetzung für den Einsatz ist eine hardwaremäßige Netzwerkkonfiguration, bei der es genau eine Verbindung zwischen dem Instituts-Subnetz und dem Rest des TUNET gibt, an der man das Gerät dazwischenschalten kann. Das kann ohnehin schon gegeben sein oder man kann durch die Schaffung eines "virtuellen LANs" eine solche Situation schaffen, auch wenn Teile des Netzes sich physisch auf verschiedenen Lokalitäten befinden. (Bitte auf jeden Fall mit der Abt. Kommunikation des ZID Verbindung aufzunehmen ! )

Es ist auch zu bedenken, dass man fundierte Kenntnisse über IP-Netzwerke braucht, um die Filterregeln zu definieren. Sonst würde die Aufstellung eines solchen Gerätes die Betreiber nur in falscher Sicherheit wiegen, was die Situation nur verschlechtern statt verbessern würde. Sind diese Kenntnisse nicht ausreichend vorhanden, können Sie für dieses Gerät einen Wartungvertrag abschließen (siehe http://evaxsw.tuwien.ac.at/pss/pss.html unter "Fernunterstützung").

Weiters ist auch zu bedenken, dass die beste Firewall-Lösung nichts nützt, wenn Sie dahinter alle Möglichkeiten von "mobile code", wie Active-X, Scripting-Host, Java, Javascript usw. uneingeschränkt zulassen, dann könnte mitunter "feindlicher" Programmcode hinter dem Firewall aktiviert werden, was dann alle Sicherheitsbemühungen unterläuft bzw. zunichte macht (siehe "Loveletter").

Nähere Informationen über diese Firewall-Lösung siehe unter: http://linux.tuwien.ac.at/firewall.html

Sollten Sie noch Fragen haben oder Beratung wünschen, kontaktieren Sie mich bitte:

Walter Selos
selos@zid.tuwien.ac.at
Kl. 42031 oder unsere Hotline 42124

Zum Inhaltsverzeichnis, ZIDline 4, Dezember 2000