Linux-Kongreß´97

Freefire - Freie Firewall (für Linux)

Bernd Eckenfels
http://home.pages.de/~eckes/

Überblick

Firewalls sind Soft- und Hardwaresysteme zum kontrollierten Verbinden von Netzwerken mit unterschiedlichen Vertrauensstufen. In meinem Vortrag möchte ich einen Rundgang durch dieses Thema machen.

Er beginnt mit einer kurzen Einführung in die Grundlagen von Firewalls. Danach folgt eine Auswahl von freien Softwaretools. Ihre Möglichkeiten im Bereich Firewalling und Internet Connection werden vorgestellt.

Zum Abschluß stelle ich die Initiative Freefire vor. Eine Mailingliste und eine Homepage (http://www.inka.de/sites/lina/freefire-l/) zur Koordination der Entwickler von freien Firewall Tools.

Firewall Intro

Firewalls boomen. Für die Einen sind sie unnötige und nutzlose Trostpflaster auf das schlechte Gewissen von Netzwerkern und Management, für die Anderen Arbeitshindernisse und Geschwindigkeitsbremsen. Mit explosionsartiger Expansion des Internets, Einsatz von TCP/IP auch in firmeninternen Netzwerken und dem Wunsch nach Internet an jeden Arbeitsplatz werden sie immer unvermeidlicher. Firewalls dienen der Außenhautabsicherung von TCP/IP Netzsegmenten in Intranets oder im Internet.

Firewall Technologie

Die Hauptaufgabe von Firewalls ist die Durchsetzung einer Sicherheitspolitik. Es muß klar sein welche Aufgaben eine Firewall erfüllen kann und soll, und welche Einschränkungen für den Benutzer dadurch akzeptabel sind.

Eine Firewall besteht aus Netzwerkhardware, gesicherte Server, einer Sicherheitspolicy und einem angemessenen Operating. Einzelkomponenten sind Paketfilter, Anwendungsproxies, Server, Logging, Authentifizierung, Verschlüsselung, Adressumsetzung und Netzwerküberwachung.

Freie Lösungen

Komplettlösungen im Firewall Bereich, Kommunikationsserver, Access Router und ähnliche Funktionalität läßt sich mit den bestehenden Tools und einer Menge Handarbeit realisieren. Vorteile dieses Arbeitsaufwandes sind Flexibilität, weltweiter Anwendersupport, Preis/Leistungsverhältnis, Quellcode zu den Anwendungen, Millionen von freiwilligen Betatestern und kompetentem Peer Review und immer neue Innovationen.

Existierende Komponenten

Der Linux Kernel implementiert einen Leistungsfähigen, extrem flexiblen TCP/IP Stack mit Netzwerk Adress Translation, IP-Filter, Loggin und Accounting. Der Kernel unterstützt zusätzliche Module für Erweiterungen des Firewallings. Mit Support für transparente Verbindungsumleitung und Unterstützung von mehreren Adressen eignet sich der Kernel als Grundlage für eine Firewallinstallation.

Neben den üblichen Security-Tools wie Netzscanner, Sniffer, Verschlüsselung und Serverdiensten wie FTP-, WWW-, DNS-Server, Mail MTA und Remote-Login Diensten bietet sich der Einsatz von Proxydiensten an.

Daneben gibt es mehrere Toolkits für Firewalls, die sich allerdings nicht unter freie Software fallen.

Eine aktuelle Liste von freien, Tools, Resourcen und halbfreien Lösungen trage ich auf der Projekt Homepage (kommentiert) zusammen.

Projekt Freefire

Die Existenz von 'Semi-freien' Firewall Tools hat die Entwicklungen in diesem Bereich etwas gehemmt. Dazu kommen die Bedenken des Managements gegenüber freien Lösungen.

Die existierenden Tools sind schwer zu finden, benötigen Überarbeitung, schlüsselfertige System müssen zusammengestellt werden. Dies sind die Projektziele der Freefire-l Mailingliste.


Bernd Eckenfels arbeitet für die Seeburger Unternehmensberatung GmbH Bretten (http://www.seeburger.de/) für den Bereich Entwicklung und Erforschung von neuen Technologien.