• Startseite
• Leistungen
• Produkte
• Aus der Praxis
• Kundenportal
  • Dokumentationen
  • Updates und Patches
  • Erweiterungen
  • HowTos
    • Linux
    • Novell
    • Windows
  • MSI-Pakete
  • Mailinglisten
• FAQs
• Downloadcenter

• Startseite
• Kundenportal
• HowTos
• Linux

IPCop – Sicherheit für das schulische Netzwerk

In Netzwerken werden Firewalllösungen zwischen verschiedenen Netzsegmenten eingesetzt, um den Datenverkehr zu regeln. Die paedML Linux wird seit der Version 3.0 mit dem IPCop ausgeliefert. Dieser "Gesetzeshüter" verrichtet seinen Dienst zwischen Intranet und Internet und sorgt dafür, dass weder ungebetene Besucher noch derartige Inhalte den Weg in das Schulnetz finden. Dieser Artikel beschreibt die Funktionen des IPCops unter Berücksichtigung der folgenden Fragen:

• Wie funktioniert eine Firewall?
• Benötigen Sie einen integrierten oder einen dedizierten IPCop?
• Welche Hardwarevorraussetzungen müssen erfüllt werden?

Inhalt:

Funktionsweise einer Firewall

Die Hauptaufgabe einer Firewall besteht darin, einzelne Netzabschnitte zu trennen und den Verkehr zwischen verschiedenen Netzen zu kontrollieren. Hierbei kann definiert werden, welche Anfragen von innen nach außen weitergeleitet werden und welche Anfragen von außen nach innen dürfen. Man könnte eine Firewall mit einem Vorzimmer vergleichen, in dem ein Sicherheitsbeauftragter sitzt, der entscheidet, welche Personen ein Haus betreten dürfen. Beim Einlass werden die Personen von dem Sicherheits­beauftragten nach Waffen durchsucht. Bei allen Personen, die das Haus wieder verlassen, werden die Taschen untersucht, damit das Tafelsilber auch im Haus bleibt.

text

Aufbau und Funktionsweise einer Firewall: vergrößern

Quelle: Wikipedia

text

Bei einer Firewall können verschiedene Softwarekomponenten zum Einsatz kommen: Paket- und Contentfilter. Diese werden im Folgenden näher beschrieben.

Paketfilter

Damit Computer Daten untereinander austauschen können, werden diese in so genannte „Pakete“ verpackt. Eine große Datei wird vom sendenden Rechner in kleine Häppchen zerteilt, die dann über das Netzwerk geschickt und beim Empfänger wieder zusammengesetzt werden. In Paketfiltern wird definiert, welche Pakete die Firewall passieren dürfen. Nicht autorisierte Pakete werden vom Paketfilter verworfen. Daten, die an einen unbekannten Rechner geschickt werden sollen – z.B. von einem Spyware-Programm – können so gefiltert werden. Unbekannte Pakete von außen – z.B. ein Angriff – werden an der Firewall abgeblockt.

Die Kommunikation im Internet verläuft über IP-Adressen und Ports. Wenn man sich das Internet als eine Straße vorstellt, dann sind die IP-Adressen die Hausnummern, über die Pakete zwischen Rechnern hin- und hergeschickt werden. Ports finden in diesem Bild Ihre Entsprechung in Stockwerken. Häufig genutzte Dienste „wohnen“ in einem bestimmten Stockwerk. So ist der ssh-Dienst in der Regel im 22. Stock (also auf Port 22) anzutreffen, während http im 80. Stock zu Hause ist. In einer Firewall kann definiert werden, welche Rechner über welche Ports miteinander kommunizieren können. Zunächst sollte der ssh-Dienst nicht von außen erreichbar sein, wenn Sie aber wollen, dass von außen auf Ihr Netzwerk zugegriffen werden kann, dann öffnen Sie einfach das Fenster im 22. Stock und schon können Sie auf eine Verbindung per ssh zugreifen. Mit einer so genannten Port-Weiterleitung können Sie in der Firewall definieren, auf welchen Rechner in Ihrem Netzwerk zugegriffen werden soll und dadurch Rechner hinter der Firewall nach außen öffnen.

Contentfilter (von engl. content = Inhalt)

Während Paketfilter überprüfen, von wo nach wo Pakete verschickt werden, kontrolliert ein Contentfilter, was verschickt wird. Hierfür können die empfangenen Pakethäppchen bei Bedarf zusammen gesetzt und nach bestimmten Kriterien gefiltert werden.

Wenn bestimmte Inhalte (z.B. bestimmte Seiten), Viren oder - aus Sicherheitsgründen  unerwünschte Skripte aus dem Netzwerkverkehr herausgefiltert werden sollen, kommt ein Contentfilter zum Einsatz.

Der Netzwerkverkehr wird hierfür über einen Proxy geleitet, auf dem dann der Inhalt der Pakete untersucht werden kann. Hier könnte beispielsweise ein Virenwächter eingesetzt werden, der Malware (engl. malicious = bösartig) sind Schad- bzw. Computerprogramme, die, vom Benutzer unerwünschte und, gegebenenfalls schädliche Funktionen ausführen) aus dem Netzwerk filtert. Beim IPCop filtert der Proxy unerwünschte Seiten heraus.

Die Firewall in der paedML^®: IPCop

In der paedML Linux ist die Wahl der Firewall auf den IPCop gefallen. Hierbei handelt es sich um ein Opensource Projekt, das Ende 2001 das Licht der Welt erblickt hat und seitdem von einer regen Community weiter entwickelt wird. Der IPCop kann modular mit zusätzlichen Funktionen ausgestattet werden und so – bei Bedarf – an die persönlichen Wünsche angepasst werden.

Der IPCop kann mit vier Schnittstellen ausgestattet werden, die Ihren Dienst im Netzwerk verrichten. Die Macher des IPCops haben den verschiedenen Interfaces Farben zugeordnet, die es leichter machen, sie zu identifizieren. Rot ist die externe Schnittstelle, grün ist das interne Netz, an der blauen Schnittstelle können Accesspoints angestöpselt werden und orange ist das Interface für die DMZ.

Die verschiedenen Interfaces am IPCop

Der IPCop liegt derzeit (April 2009) in der Version 1.4.21 vor. ACHTUNG! Updates Ihres IPCops sollten nicht manuell eingespielt werden, sondern erfolgen automatisch mit dem Update Ihrer paedML Linux-Distribution. Bei manuell eingespielten Updates kann es zu Problemen kommen, die eine Neuinstallation des IPCops nach sich ziehen.

Integriert versus Dediziert: Welcher IPCop ist der Richtige?

Wenn Sie einen neuen paedML Linux Server aufsetzen, werden Sie mit der Frage konfrontiert, ob der IPCop als virtuelle Maschine auf dem Server (integriert) oder als eigene physikalische Maschine (dediziert) aufgesetzt werden soll. Beide Varianten bieten sowohl Vor- als auch Nachteile, die an anderer Stelle ausgiebig dargestellt werden, zum Beispiel:

Wikipedia IPCop in virtueller Maschine / User Mode Linux

oder folgender Eintrag im IPCop-Forum:

IPCop, zusätzliche Dienste und virtuelle Maschinen

Wir empfehlen explizit den IPCop auf einem eigenen Rechner – also dediziert – aufzusetzen. Bei Fragen zum IPCop wenden Sie sich an bitte an die Linux-Hotline.

Bild

Integriert, dediziert? Gar nicht so kompliziert!

text

Wenn es Probleme mit dem IPCop geben sollte, so ist ein dedizierter IPCop leichter zu analysieren als ein – häufig nicht mehr verfügbarer – intergrierter. Im Falle einer nachhaltig nicht erreichbaren virtuellen Maschine, gibt es eine Hand voll Lösungsansätze, um den IPCop wieder zum Laufen zu bringen. Sollten diese nicht greifen, bleibt nur noch der Weg einer Neuinstallation von IPCop und Server – inklusive der Neueinrichtung Ihres paedML® Netzwerkes.

Ein dedizierter IPCop kann mit Tastatur und Monitor versehen werden und ermöglicht so eine Fehleranalyse. Wenn ein dedizierter IPCop nicht mehr zur Mitarbeit überredet werden kann, so ist dieser schnell wieder aufgesetzt.

Als Hardware für den IPCop kann auch ein etwas älterer Rechner eingesetzt werden – zum Beispiel ein alter Server. Das Gerät läuft auch auf einer älteren CPU (ab ca. Pentium III), benötigt mindestens zwei Netzwerkkarten (grünes und rotes Netz), eine kleine Festplatte, je nach Anzahl der Clients ab 512 MB RAM, besser: 1 GB. Bei großen Netzwerken sollte die Hardware leistungsstärker sein.

Weiterführende Links:

http://de.wikipedia.org/wiki/IPCop

http://lehrerfortbildung-bw.de/netz/muster/linux/material/sicherheit/paedml/ipcop/

http://www.ipcop-forum.de/

http://www.ipcop.org/index.php