Gute Ergänzung

Portsmith ist eine praktische Erweiterung für eine konventionelle Firewall. Die Lösung ergänzt das traditionell statische Regelwerk um dynamische, im Vorfeld definierte Freischaltungen, die ein per Webbrowser angemeldeter Benutzer selbst auslösen kann. Ein potenzieller Einsatzzweck wäre die weitere Absicherung des Zugriffs auf einen firmeninternen Webmailer oder anderen Diensten wie Sun Secure Global Desktop [10]. Im Fall verschlüsselter Verbindungen könnte es als "Ersatz" für ein VPN dienen. Wer hingegen Wert auf eine echte VPN-Lösung legt, kann ohne weiteres IPSec-Software wie strongSwan [11] oder alternativ OpenVPN [12] installieren. Portsmith "nur" dazu zu nutzen, einem eingeschränkten Nutzerkreis den SSH-Zugriff auf die Firewall zu gewähren wäre hingegen mit Kanonen auf Spatzen geschossen. Hier wäre Portknocking [13] sicherlich eine einfachere und sichere Alternative.

Nutzer einer dynamischen IP-Adresse sind auf manuelles Zutun oder externer Hilfe wie beispielsweise DynDNS-Diensten angewiesen um die Konfiguration mit der derzeit aktiven offiziellen IP auf dem Stand zu halten.

Das vorgegebene Regelwerk hinterlässt leider ein paar Fragezeichen, und ist an einigen Stellen definitiv verbesserungswürdig. Glücklicherweise sind die Anpassungen schnell durchgeführt, jedoch sind hierfür manuelle Änderungen an den durch Portsmith vorgegebenen Dateien nötig. Dies könnte im Falle von Updates zu Problemen führen, das sollte der Admin also als im Hinterkopf (oder noch besser der Dokumentation) behalten. Auch weicht diese Tatsache das Konzept einer schlüsselfertigen Firewall-Lösung auf. Ein Administrator ohne grundlegende Kenntnisse über IPTables oder des Linux-Betriebssystems ist an dieser Stelle schlicht überfordert.

Mehr Sicherheit

Leider setzt Portsmith im Fall der Authentisierung auf ein eigenes, datenbankbasiertes Konzept. Eine Anbindung an RSA Token-Systeme oder Single-Sign-On-Lösungen wäre hier wünschenswert. Das wäre nicht nur ein weiteres Plus an Komfort für den Benutzer, sondern würde die Anmeldung besonders im Fall von RSA noch um eine weitere Sicherheitsmaßnahme ergänzen. Weiterhin wünschenwert wären zeitliche Einschränkungen, beispielsweise zur automatischen Sperrung temporärer Accounts oder der Beschränkung von Logins für bestimmte Nutzer auf die Bürozeiten. Zu hoffen lässt jedoch, dass das System flexibel genug ist, auch solche Erweiterungen nicht auszuschließen.

Alles in allem ist Portsmith, die entsprechende Grundkonfiguration und weitere Absicherung vorausgesetzt, eine nützliche Erweiterung einer IPTables-basierten Firewall, die sowohl den Nutzern als auch dem Administrator das Leben erleichtern wird. Der große Vorteil des Systems ist die Erweiterbarkeit durch die Ubuntu-Basis. Die Firewall könnte so also auch als eigener Web-, Mail- oder sonstiger Server "missbraucht" werden. Dass dabei die Sicherheit durch weitere Angriffspunkte ausgehöhlt wird, sollte man dabei jedoch im Hinterkopf behalten.