Linux-Kongreß´97
Freefire - Freie Firewall (für Linux)
Bernd Eckenfels
http://home.pages.de/~eckes/
Überblick
Firewalls sind Soft- und Hardwaresysteme zum kontrollierten Verbinden von
Netzwerken mit unterschiedlichen Vertrauensstufen. In meinem Vortrag
möchte ich einen Rundgang durch dieses Thema machen.
Er beginnt mit einer kurzen Einführung in die Grundlagen von Firewalls. Danach
folgt eine Auswahl von freien Softwaretools. Ihre Möglichkeiten im Bereich
Firewalling und Internet Connection werden vorgestellt.
Zum Abschluß stelle ich die Initiative Freefire vor. Eine Mailingliste und
eine Homepage
(http://www.inka.de/sites/lina/freefire-l/)
zur Koordination der Entwickler von freien Firewall Tools.
Firewall Intro
Firewalls boomen. Für die Einen sind sie unnötige und nutzlose
Trostpflaster auf das schlechte Gewissen von Netzwerkern und Management,
für die Anderen Arbeitshindernisse und Geschwindigkeitsbremsen. Mit
explosionsartiger Expansion des Internets, Einsatz von TCP/IP auch in
firmeninternen Netzwerken und dem Wunsch nach Internet an jeden
Arbeitsplatz werden sie immer unvermeidlicher. Firewalls dienen der
Außenhautabsicherung von TCP/IP Netzsegmenten in Intranets oder im
Internet.
Firewall Technologie
Die Hauptaufgabe von Firewalls ist die Durchsetzung einer
Sicherheitspolitik. Es muß klar sein welche Aufgaben eine Firewall erfüllen
kann und soll, und welche Einschränkungen für den Benutzer dadurch akzeptabel
sind.
Eine Firewall besteht aus Netzwerkhardware, gesicherte Server, einer
Sicherheitspolicy und einem angemessenen Operating. Einzelkomponenten sind
Paketfilter, Anwendungsproxies, Server, Logging, Authentifizierung,
Verschlüsselung, Adressumsetzung und Netzwerküberwachung.
Freie Lösungen
Komplettlösungen im Firewall Bereich, Kommunikationsserver, Access Router
und ähnliche Funktionalität läßt sich mit den bestehenden Tools und
einer Menge Handarbeit realisieren. Vorteile dieses Arbeitsaufwandes sind
Flexibilität, weltweiter Anwendersupport, Preis/Leistungsverhältnis,
Quellcode zu den Anwendungen, Millionen von freiwilligen Betatestern und
kompetentem Peer Review und immer neue Innovationen.
Existierende Komponenten
Der Linux Kernel implementiert einen Leistungsfähigen, extrem flexiblen
TCP/IP Stack mit Netzwerk Adress Translation, IP-Filter, Loggin und
Accounting. Der Kernel unterstützt zusätzliche Module für Erweiterungen des
Firewallings. Mit Support
für transparente Verbindungsumleitung und Unterstützung von mehreren
Adressen eignet sich der Kernel als Grundlage für eine Firewallinstallation.
Neben den üblichen Security-Tools wie Netzscanner, Sniffer, Verschlüsselung
und Serverdiensten wie FTP-, WWW-, DNS-Server, Mail MTA und Remote-Login
Diensten bietet sich der Einsatz von Proxydiensten an.
Daneben gibt es mehrere Toolkits für Firewalls, die sich allerdings
nicht unter freie Software fallen.
Eine aktuelle Liste von freien, Tools, Resourcen und halbfreien Lösungen trage ich auf
der Projekt Homepage (kommentiert) zusammen.
Projekt Freefire
Die Existenz von 'Semi-freien' Firewall Tools hat die Entwicklungen in
diesem Bereich etwas gehemmt. Dazu kommen die Bedenken des Managements
gegenüber freien Lösungen.
Die existierenden Tools sind schwer zu finden, benötigen Überarbeitung,
schlüsselfertige System müssen zusammengestellt werden. Dies sind die
Projektziele der Freefire-l Mailingliste.
Bernd Eckenfels arbeitet für die Seeburger Unternehmensberatung GmbH Bretten
(http://www.seeburger.de/) für den Bereich
Entwicklung und Erforschung von neuen Technologien.