Firewall IPFire einrichten - Pakete sortieren

Lesezeit
9 Minuten
Bis jetzt gelesen

Firewall IPFire einrichten - Pakete sortieren

03.04.2019 - 12:14
Veröffentlicht in:

Eine funktionierende Firewall ist der Grundpfeiler sicherer IT-Infrastrukturen. Neben einigen kostenpflichtigen Varianten konkurrieren vor allem für den kleinen Geldbeutel viele Open-Source-Firewalls. Dieser Workshop stellt Ihnen IPFire vor, eine Firewall-Distribution, die neben der reinen Firewall auch Intrusion-Detection oder VPN-Zugang anbietet. Und das alles unter einer Weboberfläche vereint.

In der allgemeinen Wahrnehmung werden Firewalls immer mit einfachen Paketfiltern gleichgesetzt. Sie verhindern, dass Verbindungen aus einem Netzbereich in einen anderen aufgebaut werden. Für bestimmte Dienste lassen sich Ausnahmen definieren oder bestimmte Richtungen vorgeben. Sogenannte Stateful Firewalls (oder zustandsbasierte Paketfilter) können jeder Verbindung einen Zustand zuordnen und abhängig von diesem Zustand Pakete weiterleiten oder blockieren. So können Anfragen an den HTTPS-Port 443 aus dem Unternehmensnetz in das Internet aufgebaut, andersherum aber nicht aus dem Internet auf Systeme innerhalb des Unternehmensnetzes zugegriffen werden. Und weil der Zustand einer Verbindung in der Firewall gespeichert wird, dürfen die Antwortpakete vom Webserver dann auch von der Firewall an das anfragende System weitergeleitet werden. Allerdings nicht beliebig, sondern nur innerhalb derselben TCP-Verbindung zwischen den beiden Teilnehmern.

Um das eigene Netz vor unbefugtem Zugriff zu schützen, sollten Sie immer auf eine Firewall zurückgreifen, deren Konfiguration einfach zu verstehen ist und sie nicht überfordert. Zu schnell führt in diesem Kernelement der IT-Sicherheit eine falsche Option zum Verlust des gewünschten Schutzes. Das ist auch der Grund für die Vielzahl an möglichen Lösungen und Kombinationsmöglichkeiten der Bestandteile. IPFire [1] adressiert als IPCop-Nachfahre sowohl Neulinge als auch erfahrene Administratoren. Es bietet eine solide Basis für den Betrieb von Firewall-Komponenten und den Einsatz von Erweiterungen und kommt als sehr schlanke Linux-Distribution mit eigenem Paketmanager.

Installation und Voraussetzungen

Die Anforderungen an die eingesetzte Hardware orientieren sich nicht maßgeblich an dem IPFire-System selbst, sondern vielmehr an dem Einsatzszenario. Um halbwegs mit IPFire arbeiten zu können, empfehlen die Entwickler eine CPU mit möglichst 1 GHz und 1 GByte Arbeitsspeicher. Eine Festplatte ist nicht zwingend notwendig, IPFire lässt sich auch auf einem USB-Stick oder einer SD-Karte installieren. Der verfügbare Speicherplatz sollte mindestens 4 GByte sein. Als Download angeboten, bekommen Sie auf der Webseite Varianten für 32- und 64-Bit-Intel- sowie ARM-Architekturen. Für eine einfache Netzaufteilung sollten Sie mindestens zwei Netzwerkkarten zur Verfügung stellen.

Installieren können Sie IPFire auf dem üblichen Weg mit einer ISO-Datei, die Sie auf eine CD brennen oder auf einen USB-Stick kopieren. Gerade für ARM-Systeme werden Sie wohl eher auf die vorinstallierten und flashbaren Images zurückgreifen. Schlussendlich können Sie IPFire aber auch über PXE auf das Zielsystem bringen. Laden Sie also zunächst die von Ihnen bevorzugte Variante von [2] herunter. Mit nicht einmal 250 MByte ist die Installationsumgebung sehr sparsam. Das liegt daran, dass IPFire nicht auf einer größeren Distribution basiert, sondern nach "Linux from Scratch" nur die wirklich benötigten Komponenten enthält. Starten Sie nach dem Erstellen des Installationsmediums den Rechner.

Der Boot-Bildschirm von IPFire erlaubt Ihnen nun die Auswahl unterschiedlicher Installationsoptionen. Sie können etwa ein System ohne Tastatur und Maus installieren, was lediglich eine serielle Konsole für den Zugang unterstützt. Der Einfachheit halber wählen wir die Standardoption und installieren IPFire mit grafischer Oberfläche. Der grafische Installer startet und Sie müssen zunächst die Sprache wählen, die der Installer selbst verwenden soll. Hier können Sie Deutsch wählen, sollten aber nicht erwarten, dass auch alle relevanten Teile übersetzt sind. Die Lizenzvereinbarung, die Sie im nächsten Schritt abnicken müssen, steht dafür nur auf Englisch zur Verfügung. Sollten Sie die deutsche Variante lesen möchten, finden Sie diese unter [3]. Akzeptieren Sie also die Lizenz und klicken auf "OK". Die folgenden Dialoge zur Festspeicherauswahl können Sie einfach mit den Standardwerten weiter klicken. Dann wird der Rechner neu gestartet.

Nach dem Reboot können Sie die ersten Konfigurationsoptionen auswählen. Vergeben Sie einen Netzwerknamen für den Webzugriff, bestenfalls wird dieser durch Ihren lokalen DNS-Server aufgelöst. Wählen Sie ein sicheres Administrator-Passwort für den Server selbst und den "admin"-Benutzer in der Weboberfläche. Beachten Sie dabei das Tastaturlayout, das Sie nach dem Neustart gewählt haben. Da Sie Ihre Eingabe nicht sehen können, sollten Sie insbesondere bei Sonderzeichen entsprechend aufpassen. Sonst können Sie beim Fernzugriff mit einem anderen Tastaturlayout Schwierigkeiten bekommen.

Das Netz mit IPFire separieren

IPFire unterscheidet bis zu vier unterschiedliche Netzwerkarten: Grün, Blau, Orange und Rot. Grün ist dabei das interne Netzwerk, also das lokale Netz mit dem höchsten Vertrauensniveau und dem höchsten Schutzbedarf. Blau ist das (bei Bedarf) separate Netzwerk für das WLAN. Dort landen also insbesondere Gäste, denen man zeitweilig Zugriff auf das Internet oder Ressourcen in der DMZ erlauben möchte.

Die Demilitarisierte Zone (DMZ), also lokal verbundene Server die sowohl aus dem internen als auch dem Intranet erreichbar sein sollen, wird mit der Farbe Orange dargestellt. Zugriffe aus der DMZ heraus in das interne Netz sollten nicht möglich sein. Der rote Bereich ist das externe Netzwerk, also das Internet. Wenn Sie im Hause nicht selbst ein autonomes System betreiben, sollte im roten Bereich ausschließlich das Modem beziehungsweise der Router Ihres Internetanbieters sein. Ein Zugriff aus dem Internet sollte ausschließlich in die orangene DMZ möglich sein, bestenfalls beschränkt auf die notwendigen Ports der dort angebotenen Dienste.

Je nachdem, wie viele Netzwerkkarten Sie Ihrem System spendieren können und welche Zonen Sie benötigen, wählen Sie als "Typ der Netzwerkkonfiguration" also die entsprechende Kombination. Für unseren Artikel wählen wir Grün, Rot und Orange. WLAN-Geräte werden aus Sicherheitsgründen nicht zugelassen. Im nächsten Schritt weisen Sie nun wie in Bild 1 jedem logischen Netzbereich die entsprechende Netzwerkkarte zu.

Bild 1: Weisen Sie den logischen Netzbereichen eine Netzwerkkarte zu.
Bild 1: Weisen Sie den logischen Netzbereichen eine Netzwerkkarte zu.

 

Anschließend müssen Sie für jede Netzwerkkarte die Adresseinstellungen vornehmen. Einfach ist das in diesem Fall beim roten Netzwerk. Dort steht ein Router des Internetanbieters, der IPFire mittels DHCP eine IP-Adresse zuweist. Für die anderen beiden Bereiche müssen statische Adressen vergeben werden. Das liegt daran, dass IPFire als Standardgateway für alle Geräte in diesen Bereichen konfiguriert werden muss. Eine Änderung der Bereiche ist später nur über das Setup-Tool der Konsole möglich, das Webinterface erlaubt eine Änderung nicht.

Wählen Sie also aus Ihrem Netzwerk eine eingängige IP-Adresse. In unserem Beispiel hier werden die internen Adressen 192.168.1.1 für den grünen Bereich und 192.168.255.254 für den orangenen vergeben. Wenn Sie in beiden Bereichen einen DHCP-Server betreiben, müssen Sie nun die IP-Adressen dort jeweils als Gateway eintragen. Ansonsten konfigurieren Sie IPFire selbst als DHCP-Server, dann bekommen alle Geräte automatisch die richtigen Informationen. Ansonsten gilt es, diese Adresse bei jedem Client entsprechend einzutragen. Hinterlegen Sie abschließend im Bereich DNS und Gatewayeinstellungen noch die Adressen Ihrer DNS-Server. Wenn Sie selbst DNS-Server betreiben, sollten diese mit Rücksicht auf die DMZ-Geräte selbst auch in der DMZ liegen. Klicken Sie dann auf "Fertig".

Abschließend können Sie noch IPFire zum DHCP-Server konfigurieren. Für unser Beispiel wird das entsprechend Bild 2 durchgeführt. Das ergibt aber nur dann Sinn, wenn es nicht bereits einen DHCP-Server in ihren Bereichen gibt. Zwei DHCP-Server parallel in einem Bereich zu betreiben ist nicht sinnvoll. Die Konfiguration ist damit abgeschlossen und das System wird gestartet.

UpBild 2: Wir konfigurieren IPFire als DHCP-Server.
Bild 2: Wir konfigurieren IPFire als DHCP-Server.

 

Wenn Sie lokal am IPFire-System sitzen, bekommen Sie dort nun den Login-Prompt angezeigt. Wechseln Sie nun zu einem Rechner, der Ihnen ermöglicht, mit einem Browser auf das soeben konfigurierte Webinterface zuzugreifen. Die IP-Adresse haben Sie konfiguriert, in unserem Beispiel ist dies 192.168.1.1. Öffnen Sie also "http://192.168.1.1:444" in Ihrem Browser und gelangen so zur Konfigurationswebseite von IPFire.

Haben Sie bei der Methode für die Interneteinwahl den PPP-Modus ausgewählt, sollten Sie zunächst die Zugangsdaten für das Modem konfigurieren. Das können Sie im Webinterface-Menü "System" über "Einwahl" erledigen. Wenn die Internetverbindung steht, dann führen Sie zunächst ein Update des Systems durch. Wählen Sie dafür im Menü "IPFire" den Menüpunkt "Packfire". Dort aktualisieren Sie zunächst die Update-Listen. Gibt es eine neue Version, wählen Sie den "Upgrade"-Button und starten so die Aktualisierung. In der Packfire-Ansicht können Sie auch die verfügbaren Erweiterungen installieren.

Firewallregeln definieren

Der Menüpunkt "Firewall" führt Sie zu den Firewallregeln und -optionen. Dort konfigurieren Sie eingehende und ausgehende Regeln sehr komfortabel. Wie in Bild 3 konfigurieren Sie etwa den Zugriff aus dem internen grünen Bereich in den orangenen Netzbereich der DMZ. Sie können sowohl für den ganzen Bereich als auch für einzelne Hosts Regelsätze definieren. IPFire setzt diese dann aus dem Formular in IPTables-Regeln um.

Bild 3: Mit Firewallregeln definieren Sie Zugangspunkte zwischen den Netzbereichen.
Bild 3: Mit Firewallregeln definieren Sie Zugangspunkte zwischen den Netzbereichen.

 

In den Firewalloptionen können Sie NAT sowohl für den grünen als auch für den orangenen Bereich aktivieren. NAT brauchen Sie natürlich dann, wenn Sie nur über eine öffentliche IP-Adresse verfügen und deshalb intern private Adressen verwenden. Für Anfragen in das Internet wird dann die Adresse des Routers, also in diesem Fall des IPFire-Servers, verwendet. Hier konfigurieren Sie auch das Logging für Ihren Paketfilter oder die Verwendung von Application Layer Gateways für FTP, Telefonie, IRC oder PPTP. Ein ALG benötigen Sie, wenn eine Anwendung grundsätzlich alle unprivilegierten Ports benutzen kann. FTP etwa benötigt im aktiven Modus Datenverbindungen zu einem zufälligen Port. Über entsprechende Stateful-Inspection können einkommende Verbindungen dann dem Protokoll und der bestehenden Verbindung auf Port 21 zugeordnet werden. Das ist sicherer, als einfach alle unprivilegierten Ports für den Zugriff aus dem roten Bereich zu öffnen.

Inhaltsfilterung als Webproxy

IPFire bringt Ihnen auch einen Webproxy für den grünen und den blauen Netzbereich mit. Unter der Haube verrichtet hier der beliebte Squid seinen Dienst. Sie können zwischen zwei Betriebsmodi wählen, dem normalen und dem transparenten Modus. Im normalen Modus konfigurieren Sie den Proxy im Browser Ihres Clients. Sie können so HTTP- wie auch HTTPS-Verbindungen über den Proxy abwickeln. Der transparente Modus erfordert keine Konfiguration auf Clientseite. HTTP-Verbindungen werden über eine Regel im Paketfilter der Firewall auf den Squid-Proxy umgeleitet. Das hat einerseits den Vorteil, dass Clients den Proxy nicht ohne weiteres umgehen können. Leider ist es in diesem Modus aber nicht möglich, HTTPS-Verbindungen umzuleiten. Da kaum noch eine Webseite ohne Verschlüsselung kommuniziert, lassen Sie den transparenten Modus deaktiviert. Die Umgehung des Proxys können Sie dann über eine entsprechende Firewallregel verhindern.

Den Zugriff auf Webseiten können Sie über eine URL-Filterliste reglementieren. Als Filterliste wird standardmäßig die Filterliste der Shalla Secure Services [4] verwendet. Für unterschiedliche Kategorien können Sie nach dem Download der Liste entsprechende Berechtigungen setzen. So verhindern Sie etwa den Abruf von Werbe- oder Erwachsenendiensten. Über die externen Listen hinaus können Sie hier Domains und URLs sowohl auf die Blacklist als auch auf die Whitelist setzen. Eine Filterung auf Basis von Dateinamenserweiterungen konfigurieren Sie über vordefinierte Filter. Mit einem Haken bei "Sperre ausführbare Dateien" verhindern Sie den Download von BAT-, COM-, EXE-, SYS- oder VBS-Dateien. Möchten Sie den Download von Mediendaten wie AVI oder MP3 verhindern, aktivieren Sie "Sperre Audio / Video-Dateien". Nachdem Sie Änderungen gemacht haben, müssen Sie den Dienst neu starten. Wählen Sie daher den entsprechenden Button "Speichern und Neustart".

Der Update-Accelerator, den Sie ebenfalls im "Netzwerk"-Menü finden, ermöglicht die Speicherung großer Dateien im Speicher von IPFire. Bei großen Dateien handelt es sich häufig um Software oder entsprechende Updates. Mit dem aktivierten Update-Accelerator müssen diese Dateien nicht mehrfach heruntergeladen werden, sondern können von IPFire aus dem Spezial-Cache des Download-Accelerators bedient werden. Dieser verhält sich anders als der übliche Squid-Cache und hält Dateien entsprechend länger vor. Allerdings ist dieser Modus nicht für alle Downloads von Updates sinnvoll. Wenn Sie Windows-Updates in Ihrem Unternehmen entsprechend managen möchten, sollten Sie eher auf den WSUS-Update-Server zurückgreifen.

Traffic steuern mit Captive-Portal

Ein Captive-Portal ermöglicht die Limitierung des Zugangs zu einem Netzwerk. Meist handelt es sich um eine Webseite, auf die beim ersten Internetzugriff eines Clients umgeleitet wird. Dort kann sich der Client authentifizieren oder Zugangsbedingungen akzeptieren und erst anschließend wird der Zugriff auf das Netzwerk gestattet. Häufig gibt es solche Captive-Portals in Hotels oder Cafés. Sie können mit IPFire ein Captive-Portal für den grünen und den blauen Netzbereich aktivieren. Bevorzugt werden Sie diese Beschränkung in Ihrem WLAN-Netz, also dem blauen Netzbereich, verwenden.

Ein sinnvoller Einsatz im grünen Netzbereich hängt vom konkreten Einsatzszenario ab. Den Zugang zum Netzwerk knüpfen Sie entweder an die Akzeptanz von Zugangsbedingungen oder an Gutscheine. Die Gutscheine können Sie nach der Aktivierung des Captive-Portals im Webinterface generieren. Wählen Sie dafür eine der vorgegebenen Gültigkeitsdauern und geben Sie einen Kommentar ein, um den Gutschein auch nachträglich noch zuordnen zu können. Nach der Generierung überwachen Sie in der Ansicht auch die Verwendung der ausgestellten Gutscheine.

VPN und weitere Funktionen

IPFire bietet Ihnen über das reine Filtern von Datenpaketen und Managen von Verbindungen auch Dienste an, die Sie nutzen können. Die Weboberfläche erlaubt unter dem Menüpunkt "Dienste" etwa die Einrichtung eines IPSec-Tunnels oder des OpenVPN-Servers für den Remote-Zugang über den orangenen oder den roten Netzbereich. Aus dem grünen Bereich benötigen Sie ja kein VPN, daher ist von dort eine Verbindung auch nicht nötig. Konfigurationsdateien müssen Sie für die Einrichtung nicht editieren, alle notwendigen Einstellungen können Sie über das Webinterface machen. Sie können sogar bei Bedarf eigene Zertifikatdaten hochladen, wenn Sie eine Firmen-PKI betreiben. Sie können unterschiedliche Optionen für die Clients auswählen, etwa zum Verbinden eines einzelnen Clients in einem Roadwarrior-Szenario oder auch zum Verbinden eines ganzen Netzbereichs etwa als Außenstelle des Unternehmens.

Das Anlegen von VPN-Benutzern funktioniert über die Oberfläche sehr komfortabel. Klicken Sie in der OpenVPN-Ansicht einfach unter "Verbindungsstatus und -Kontrolle" auf "Hinzufügen" und füllen Sie die Formulare entsprechend aus. Für noch mehr Sicherheit können Sie auch eine Zertifikatsanfrage des Benutzers hochladen. Dann bleibt der private Schlüssel auf dem Client-System und IPFire signiert Ihnen einfach die Anfrage mit dem CA-Zertifikat. In diesem Dialog wählen Sie auch die Netzbereiche, auf die der Benutzer dann über VPN Zugriff hat. Wählen Sie "Keine", ist nur der Weg über das NAT in den roten Bereich möglich.

Im "Dienste"-Menü stehen Ihnen auch externe Dienstekonfigurationen zur Verfügung. IPFire kann verschiedene DynDNS-Anbieter nutzen, um eine dynamische IP-Adresse auch über DNS anzusprechen. Ebenfalls konfigurieren Sie dort Zeitsynchronisierung, Festplattenspeicher und die enthaltene Snort-Instanz für die Einbruchserkennung (IDS). Zur Vorauswahl im IDS gibt es die bekannten Community-Snort-Regelsätze. Leider geht die Snort-Konfiguration nicht über das einfache Einbinden von Regelsätzen hinaus. Wenn Sie ein Snort-Abonnement für Sourcefire-Regeln haben, können Sie dieses für Abfragen hinterlegen. Eigene Regeln konfigurieren Sie über den Konsolen-/SSH-Zugang.

Fazit

IPFire bietet Ihnen die grundlegende Funktion eines Firewall-Managements. Sie können komfortabel Netzbereiche und Regeln definieren sowie weitere Dienste für den Remote-Zugang oder die Einbruchserkennung konfigurieren. Ein rundes und gut strukturiertes Webinterface erlaubt die einfache Verwaltung und gibt einen guten Überblick über den Zustand des Netzwerks und mögliche Erweiterungen erlauben die individuelle Anpassung des Systems an Ihre Bedürfnisse.

(dr)

Link-Codes

[1] IPFire: https://ipfire.org/

[2] IPFire-Download: https://www.ipfire.org/download/

[3] Deutsche Lizenzvereinbarung: http://www.gnu.de/documents/gpl.de.html/

[4] Filterliste der Shalla Secure Services: http://www.shallalist.de/

 

Aus dem IT-Administrator Magazin Ausgabe 04/2019: Verwaltung mobiler und stationärer Clients Seite 46-49

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.