Landesmedienzentrum Baden-WürttembergSupport-Netz-Portal

Ein Blick in das Innenleben einer Firewall – so funktioniert Ihr IPCop

Nach dem wir uns beim letzten Mal angeschaut haben, wie eine Firewall funktioniert und kurz auf den Einsatz des IPCops in der paedML Linux eingegangen sind, wollen wir uns diesmal ein wenig tiefer in die Materie begeben und einen Blick auf die einzelnen Dienste und möglichen Stellschrauben des IPCops werfen.

 

Inhalt:

 

Farblich kodiert - Die verschiedenen Netze des IPCop

Die Dienste des IPCop

Weiterführende Links

Farblich kodiert - Die verschiedenen Netze des IPCop

Der IPCop bietet die Option über mehrere Netzwerkkarten verschiedene Netzbereiche voneinander zu trennen. Die Entwickler des IPCops haben dieses Feature mit Farben abgebildet. Auf ein schulisches Netzwerk übertragen sieht das so aus:

 

-        die rote Netzwerkkarte verbindet das Schulnetz mit dem Internet

-        im grünen Netzwerk hängt das Schulnetz inklusive Server

-        über das blaue Interface können Sie kabellose Geräte anbinden (Notebooks,...)

-        das orange Netz – die DMZ.

 

Bild1

Alles schön bunt hier – verschiedene Netzwerkbereiche werden im IPCop farblich unterschieden

text

 

Durch die logische (IP-Adressen) sowie physikalische (verschiedene Netzwerkkarten) Trennung der einzelnen Netzwerkbereiche können diese auseinander gehalten werden.  Das (grüne) Schulnetz hat (sofern wir im folgenden jeweils von den Standardadressen ausgehen) den IP-Adressbereich 10.16.0.0/255.240.0.0, der IPCop ist aus dem schulischen Netzwerk über die Adresse 10.16.1.254 erreichbar, der Server hat die 10.16.1.1. Die IP-Range geht von 10.16.0.0 bis 10.31.255.255 (nähere Informationen finden Sie im Administratorhandbuch Kapitel 2.1). Das Schulnetz ist vom IPCop aus betrachtet das grüne Netz. Hierin befinden sich die Clients sowie der Server Ihrer paedML.

 

Achtung

Achtung

Es gibt Probleme, wenn die rote und die grüne Netzwerkkarte am gleichen Switch angeschlossen werden. Trotz des Einsatzes von Virtual Local Area Network (VLan) - siehe Wikipedia: VLan http://de.wikipedia.org/wiki/Virtual_Local_Area_Network - scheint häufig keine Trennung der Netzsegmente möglich zu sein und Pakete finden Ihren Weg nicht in das für sie bestimmte Netz. Es sei hier deshalb ausdrücklich darauf hingewiesen, dass die externe Netzwerkkarte des IPCops (rotes Netz) direkt mit dem Router verbunden werden muss, während die interne Netzwerkkarte (grünes Netz) mit einen Switch zum Schulnetz verbunden werden darf.

text2

 

Um vom grünen Netz aus auf den IPCop zu gelangen, haben Sie zum Einen die Möglichkeit, den Weg über die Kommandozeile zu wählen. Wenn Sie am Server als root angemeldet sind, dann können Sie mittels des Befehls 'ssh -p 222 ipcop' auf den IPCop gelangen. Dort können Sie – das entsprechende Wissen vorausgesetzt – Ihre Firewall konfigurieren oder im Fehlerfall eine Analyse vornehmen.

 

Eine weitere Möglichkeit ist es, den  IPCop über den Browser zu konfigurieren. Wesentlich angenehmer zu bedienen ist das Webinterface, das Sie aus dem grünen Netzwerk über die Adresse 'https://ipcop:445' aufrufen können. Dadurch kommen Sie auf eine komfortable Oberfläche, in der Sie Anpassungen an der Konfiguration vornehmen können. Entgegen der normalen Nomenklatur melden Sie sich am Webinterface mit dem Benutzer "admin" (nicht Administrator) an. Dieser Weg sollte im Übrigen der Kommandozeile vorgezogen werden.

 

Wenn wir nun weiterhin davon ausgehen, dass Sie bei der Konfiguration des paedML Servers die Standardwerte für die IP-Adressen nicht geändert haben, so ergeben sich folgende IP-Schemata für die einzelnen Netzabschnitte:

 

  • blaues Netz:              172.16.16.0/255.255.255.0
  • oranges Netz:           172.16.17.0/255.255.255.0
  • OpenVPN:                172.16.18.0/255.255.255.0

 

Am blauen Interface werden – wie eingangs erwähnt – kabellose Geräte eingebunden. Anleitungen hierfür finden Sie bei der Lehrerfortbildung (siehe Linkliste). Clients, die am blauen Interface angeschlossen sind, haben aber nur via Open VPN Zugriff auf das grüne Netzwerk.

 

Das orange Netzwerk kann für die paedML Linux vernachlässigt werden. Hier könnten Server, die von außen verfügbar, aber nicht unmittelbar im grünen Netz stehen sollen, angebunden werden. Dies ist z.B. interessant für Unternehmensnetzwerke, in denen ein Server von außen erreichbar sein soll. Mitarbeiter einer Firma könnten dort z.B. ihre Mails abrufen oder auf eine Datenbank zugreifen. Angreifer, die diesen Server attackieren, bekommen keinen Zugriff auf das interne (grüne) Netzwerk, da das von der DMZ getrennt ist – sensible Daten können dadurch vor unbefugten Zugriffen geschützt werden.

 

Wenn Sie sich von Außen via OpenVPN in Ihrer Schule einwählen, dann bekommen Sie eine Adresse aus dem OpenVPN-Adresspool zugewiesen und der (externe) Client kann auf Ihre Daten im Schulnetz zugreifen.

 

bild2

hw

Der IPCop kann mit verschiedenen Elementen nachgerüstet werden. In der paedML Linux sind  die von der Hotline unterstützten Plugins Block Outgoing Traffic, Advanced Proxy, ein URL-Filter sowie Zerina (OpenVPN) installiert. Bei integriertem IPCop raten wir generell vom Einspielen von zusätzlichen Plugins ab.

Die Dienste des IPCop

Die Aufgaben einer Firewall wurden hier bereits beschrieben. Wir wenden uns nun den Diensten des IPCop zu.

 

bild2

Übersicht über Dienste des IPCops

text3

 

 

BOT (Block Outgoing Traffic) – In diesem Modul können Regeln für den ausgehenden Netzwerkverkehr definiert werden. Ein Beispiel: Sie wollen, dass Nutzer Ihres grünen Netzwerkes Post via Mailclient empfangen können? Dann müssen Sie hier die Regeln für POP3/IMAP und SMTP festlegen.

 

Proxy – Ein Proxy (von engl. "proxy representative" = Stellvertreter, bzw. lat. "proximus" = der Nächste) arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen.“ (Quelle: http://de.wikipedia.org/wiki/Proxy_(Rechnernetz)).

Der paedML-Proxyserver nimmt Anfragen von den Clients Ihres Netzwerkes an und leitet diese weiter. Die Antworten werden dann wieder vom Proxy entgegengenommen und an den anfragenden Client weitergeleitet. Mittels eines Proxyservers können mehrere Clients  über einen Zugang mit dem Internet verbunden werden. Ein weiterer Vorteil des Proxys ist, dass auf diesem Dienste laufen können, die den Netzwerkverkehr filtern. So können dort Virenscanner ebenso wie Jugendschutzfilter eingesetzt werden. Als Proxy auf dem IPCop kommt der freie Proxyserver squid zum Einsatz.

 

Advanced Proxy – Dieses Plugin erweitert die Funktionen des IPCop-Standardproxys um einige nützliche Optionen. So können z.B. gezielt Clients vom Webfilter ausgenommen werden oder Zeitfenster für die Internetnutzung definiert werden.

 

URL-Filter – Hier versteckt sich die Jugendschutzfunktion der paedML Linux. In diesem Filter sind in sogenannten "Blacklists" Seiten hinterlegt, auf die nicht zugegriffen werden darf. Wenn ein Benutzer trotzdem versucht eine gesperrte Seite aufzurufen, dann wird eine Fehlermeldung angezeigt. Wenn Sie wünschen, dass bestimmte Seiten nicht aufgerufen werden können, dann können Sie diese zusätzlich in einer eigenen Blacklist eintragen. Wenn Seiten ohne Ihr Zutun gesperrt sind, aber aus dem Schulnetz aufgerufen werden sollen, dann hinterlegen Sie diese Seiten in einer "Whitelist". Nachdem diese aktiviert wurde, sollte auf die vorher gesperrte Seite zugegriffen werden können.

 

Zerina (OpenVPN) – Mit dem Zerina Plugin wird der VPN-Zugang erweitert. Dieses Plugin ermöglicht eine komfortable Verwaltung mehrerer Zertifikate. Für den VPN-Zugang sollte im Hinterkopf behalten werden, dass dieser unter Umständen viele Ressourcen auf dem IPCop in Anspruch nehmen und im schlimmsten Fall Ihre Firewall komplett ausbremsen kann. Vor allem bei älterer Hardware sollte daher darüber nachgedacht werden, ob der Kreis der Benutzer nicht beschränkt werden muss.Ferner sollte ein Tunnel in das Schulnetz nur bei Bedarf aufgebaut und nach getaner Arbeit wieder getrennt werden.

 

DynDNS – Werfen wir zu guter letzt noch einen Blick auf den Standarddienst DynDNS. Mit dynamischem DNS wird dem Umstand Rechnung getragen, dass viele Internetanschlüsse nicht über eine feste IP-Adresse verbunden werden. Ein Anschluss über BelWü hat immer die gleiche Adresse (z.B.141.10.x.y), ein T@School-Netz hingegen bekommt bei jeder Verbindung eine andere Adresse zugewiesen. Viele Provider trennen sogar regelmäßig die Verbindung, weshalb beim Neuaufbau eine andere Adresse vergeben wird. Dadurch entsteht das Problem, dass Sie, Ihr Dienstleister oder Mitarbeiter des Support-Netzes nicht ständig auf Ihr Netzwerk zugreifen können, sondern vorher die aktuelle IP-Adresse in Erfahrung gebracht werden muss. Um dies zu umgehen, gibt es kostenlose Dienste im Internet, bei denen Sie sich anmelden können und über die Sie ständig mit der gleichen Adresse erreichbar sind.  Um die tagesaktuelle Adresse des Servers in Erfahrung zu bringen, wird auf dem IPCop, unter "Dienste | Dynamischer DNS" ein DynDNS-Server eingetragen. Der IPCop erstattet diesem nun regelmäßig Bericht, welche IP-Adresse er hat. Beim Anbieter des DynDNS-Dienstes wird die IP-Adresse in eine URL übersetzt, über die das Netzwerk erreichbar ist.

 

Weiterführende Links

IPCop

http://de.wikipedia.org/wiki/IPCop

http://lehrerfortbildung-bw.de/netz/muster/linux/material/sicherheit/paedml/ipcop/

http://www.ipcop.org/index.php

http://www.ipcop-forum.de

 

WLAN in der paedML

http://lehrerfortbildung-bw.de/netz/muster/linux/material/notebook/paedml/

http://lml.support-netz.de/trac/blog/WLAN_mit_CopSpot_und_Radius

 

Fernzugriff in der paedML

Informationen hierzu finden Sie auf unserem Portal unter Fernzugriff Linux

 

Roland Walter, 23. Juni 2009

 

Zum KundenloginZum Kundenlogin
Diese Website durchsuchen
Detailsuche
KleinMittelGroß Schriftgröße wählen