Firewall IPFire einrichten

In der allgemeinen Wahrnehmung werden Firewalls immer mit einfachen Paketfiltern gleichgesetzt. Sie verhindern, dass Verbindungen aus einem Netzbereich in einen anderen aufgebaut werden. Für bestimmte Dienste lassen sich Ausnahmen definieren oder bestimmte Richtungen vorgeben. Sogenannte Stateful Firewalls (oder zustandsbasierte Paketfilter) können jeder Verbindung einen Zustand zuordnen und abhängig von diesem Zustand Pakete weiterleiten oder blockieren. So können Anfragen an den HTTPS-Port 443 aus dem Unternehmensnetz in das Internet aufgebaut, andersherum aber nicht aus dem Internet auf Systeme innerhalb des Unternehmensnetzes zugegriffen werden. Und weil der Zustand einer Verbindung in der Firewall gespeichert wird, dürfen die Antwortpakete vom Webserver dann auch von der Firewall an das anfragende System weitergeleitet werden. Allerdings nicht beliebig, sondern nur innerhalb derselben TCP-Verbindung zwischen den beiden Teilnehmern.

Um das eigene Netz vor unbefugtem Zugriff zu schützen, sollten Sie immer auf eine Firewall zurückgreifen, deren Konfiguration einfach zu verstehen ist und sie nicht überfordert. Zu schnell führt in diesem Kernelement der IT-Sicherheit eine falsche Option zum Verlust des gewünschten Schutzes. Das ist auch der Grund für die Vielzahl an möglichen Lösungen und Kombinationsmöglichkeiten der Bestandteile. IPFire [1] adressiert als IPCop-Nachfahre sowohl Neulinge als auch erfahrene Administratoren. Es bietet eine solide Basis für den Betrieb von Firewall-Komponenten und den Einsatz von Erweiterungen und kommt als sehr schlanke Linux-Distribution mit eigenem Paketmanager.

Installation und Voraussetzungen

Die Anforderungen an die eingesetzte Hardware orientieren sich nicht maßgeblich an dem IPFire-System selbst, sondern vielmehr an dem Einsatzszenario. Um halbwegs mit IPFire arbeiten zu können, empfehlen die Entwickler eine CPU mit möglichst 1 GHz und 1 GByte Arbeitsspeicher. Eine Festplatte ist nicht zwingend notwendig, IPFire lässt sich auch auf einem USB-Stick oder einer SD-Karte installieren. Der verfügbare Speicherplatz sollte mindestens 4 GByte sein. Als Download angeboten, bekommen Sie auf der Webseite Varianten für 32- und 64-Bit-Intel- sowie ARM-Architekturen. Für eine einfache Netzaufteilung sollten Sie mindestens zwei Netzwerkkarten zur Verfügung stellen.

Installieren können Sie IPFire auf dem üblichen Weg mit einer ISO-Datei, die Sie auf eine CD brennen oder auf einen USB-Stick kopieren. Gerade für ARM-Systeme werden Sie wohl eher auf die vorinstallierten und flashbaren Images zurückgreifen. Schlussendlich können Sie IPFire aber auch über PXE auf das Zielsystem bringen. Laden Sie also zunächst die von Ihnen bevorzugte Variante von [2] herunter. Mit nicht einmal 250 MByte ist die Installationsumgebung sehr sparsam. Das liegt daran, dass IPFire nicht auf einer größeren Distribution basiert, sondern nach "Linux from Scratch" nur die wirklich benötigten Komponenten enthält. Starten Sie nach dem Erstellen des Installationsmediums den Rechner.

Der Boot-Bildschirm von IPFire erlaubt Ihnen nun die Auswahl unterschiedlicher Installationsoptionen. Sie können etwa ein System ohne Tastatur und Maus installieren, was lediglich eine serielle Konsole für den Zugang unterstützt. Der Einfachheit halber wählen wir die Standardoption und installieren IPFire mit grafischer Oberfläche. Der grafische Installer startet und Sie müssen zunächst die Sprache wählen, die der Installer selbst verwenden soll. Hier können Sie Deutsch wählen, sollten aber nicht erwarten, dass auch alle relevanten Teile übersetzt sind. Die Lizenzvereinbarung, die Sie im nächsten Schritt abnicken müssen, steht dafür nur auf Englisch zur Verfügung. Sollten Sie die deutsche Variante lesen möchten, finden Sie diese unter [3]. Akzeptieren Sie also die Lizenz und klicken auf "OK". Die folgenden Dialoge zur Festspeicherauswahl können Sie einfach mit den Standardwerten weiter klicken. Dann wird der Rechner neu gestartet.

Nach dem Reboot können Sie die ersten Konfigurationsoptionen auswählen. Vergeben Sie einen Netzwerknamen für den Webzugriff, bestenfalls wird dieser durch Ihren lokalen DNS-Server aufgelöst. Wählen Sie ein sicheres Administrator-Passwort für den Server selbst und den "admin"-Benutzer in der Weboberfläche. Beachten Sie dabei das Tastaturlayout, das Sie nach dem Neustart gewählt haben. Da Sie Ihre Eingabe nicht sehen können, sollten Sie insbesondere bei Sonderzeichen entsprechend aufpassen. Sonst können Sie beim Fernzugriff mit einem anderen Tastaturlayout Schwierigkeiten bekommen.

Das Netz mit IPFire separieren

IPFire unterscheidet bis zu vier unterschiedliche Netzwerkarten: Grün, Blau, Orange und Rot. Grün ist dabei das interne Netzwerk, also das lokale Netz mit dem höchsten Vertrauensniveau und dem höchsten Schutzbedarf. Blau ist das (bei Bedarf) separate Netzwerk für das WLAN. Dort landen also insbesondere Gäste, denen man zeitweilig Zugriff auf das Internet oder Ressourcen in der DMZ erlauben möchte.

Die Demilitarisierte Zone (DMZ), also lokal verbundene Server die sowohl aus dem internen als auch dem Intranet erreichbar sein sollen, wird mit der Farbe Orange dargestellt. Zugriffe aus der DMZ heraus in das interne Netz sollten nicht möglich sein. Der rote Bereich ist das externe Netzwerk, also das Internet. Wenn Sie im Hause nicht selbst ein autonomes System betreiben, sollte im roten Bereich ausschließlich das Modem beziehungsweise der Router Ihres Internetanbieters sein. Ein Zugriff aus dem Internet sollte ausschließlich in die orangene DMZ möglich sein, bestenfalls beschränkt auf die notwendigen Ports der dort angebotenen Dienste.

Je nachdem, wie viele Netzwerkkarten Sie Ihrem System spendieren können und welche Zonen Sie benötigen, wählen Sie als "Typ der Netzwerkkonfiguration" also die entsprechende Kombination. Für unseren Artikel wählen wir Grün, Rot und Orange. WLAN-Geräte werden aus Sicherheitsgründen nicht zugelassen. Im nächsten Schritt weisen Sie nun wie in Bild 1 jedem logischen Netzbereich die entsprechende Netzwerkkarte zu.

Bild 1: Weisen Sie den logischen Netzbereichen eine Netzwerkkarte zu.

Anschließend müssen Sie für jede Netzwerkkarte die Adresseinstellungen vornehmen. Einfach ist das in diesem Fall beim roten Netzwerk. Dort steht ein Router des Internetanbieters, der IPFire mittels DHCP eine IP-Adresse zuweist. Für die anderen beiden Bereiche müssen statische Adressen vergeben werden. Das liegt daran, dass IPFire als Standardgateway für alle Geräte in diesen Bereichen konfiguriert werden muss. Eine Änderung der Bereiche ist später nur über das Setup-Tool der Konsole möglich, das Webinterface erlaubt eine Änderung nicht.

Wählen Sie also aus Ihrem Netzwerk eine eingängige IP-Adresse. In unserem Beispiel hier werden die internen Adressen 192.168.1.1 für den grünen Bereich und 192.168.255.254 für den orangenen vergeben. Wenn Sie in beiden Bereichen einen DHCP-Server betreiben, müssen Sie nun die IP-Adressen dort jeweils als Gateway eintragen. Ansonsten konfigurieren Sie IPFire selbst als DHCP-Server, dann bekommen alle Geräte automatisch die richtigen Informationen. Ansonsten gilt es, diese Adresse bei jedem Client entsprechend einzutragen. Hinterlegen Sie abschließend im Bereich DNS und Gatewayeinstellungen noch die Adressen Ihrer DNS-Server. Wenn Sie selbst DNS-Server betreiben, sollten diese mit Rücksicht auf die DMZ-Geräte selbst auch in der DMZ liegen. Klicken Sie dann auf "Fertig".

Abschließend können Sie noch IPFire zum DHCP-Server konfigurieren. Für unser Beispiel wird das entsprechend Bild 2 durchgeführt. Das ergibt aber nur dann Sinn, wenn es nicht bereits einen DHCP-Server in ihren Bereichen gibt. Zwei DHCP-Server parallel in einem Bereich zu betreiben ist nicht sinnvoll. Die Konfiguration ist damit abgeschlossen und das System wird gestartet.

Bild 2: Wir konfigurieren IPFire als DHCP-Server.

Wenn Sie lokal am IPFire-System sitzen, bekommen Sie dort nun den Login-Prompt angezeigt. Wechseln Sie nun zu einem Rechner, der Ihnen ermöglicht, mit einem Browser auf das soeben konfigurierte Webinterface zuzugreifen. Die IP-Adresse haben Sie konfiguriert, in unserem Beispiel ist dies 192.168.1.1. Öffnen Sie also "http://192.168.1.1:444" in Ihrem Browser und gelangen so zur Konfigurationswebseite von IPFire.

Haben Sie bei der Methode für die Interneteinwahl den PPP-Modus ausgewählt, sollten Sie zunächst die Zugangsdaten für das Modem konfigurieren. Das können Sie im Webinterface-Menü "System" über "Einwahl" erledigen. Wenn die Internetverbindung steht, dann führen Sie zunächst ein Update des Systems durch. Wählen Sie dafür im Menü "IPFire" den Menüpunkt "Packfire". Dort aktualisieren Sie zunächst die Update-Listen. Gibt es eine neue Version, wählen Sie den "Upgrade"-Button und starten so die Aktualisierung. In der Packfire-Ansicht können Sie auch die verfügbaren Erweiterungen installieren.