Profi-Schutz für kleine Netze: Die Fünf-Minuten-Firewall

Schnell fertig und wenig Arbeit – das klingt nicht nur nach der Fünf-Minuten-Terrine, sondern gilt auch für die Massen von Linux-Firewall-Distributionen. Auf den Distributions-Verteilern wie Distrowatch warten in der Regel ein Dutzend Versionen auf ihren Download, insgesamt dürfte es an die Hundert Variationen geben. Die Bandbreite reicht von kostenlos oder für Geld, mit professioneller Hilfe oder ganz auf sich selbst gestellt, mit hübschen Web-Frontends oder spartanischer Shell-Konfiguration.

Auf den ersten Blick sind alle Linux-Firewalls gleich: Sie basieren auf Netfilter, einem Linux-Kernel-Modul, das Datenpakete abfangen und bearbeiten kann, sowie iptables, dem Dienstprogramm zur Konfiguration von Netfilter. Das Gespann kann Datenpakete auf der Vermittlungsschicht, der Transportschicht und teilweise auf der Anwendungsschicht verarbeiten. Damit sind die üblichen Firewall-Aufgaben abgedeckt: Paketfilter, Stateful Inspection, Application Proxy und Network Address Translation (NAT) samt Masquerading und Port-Weiterleitung. Bis zur Kernel-Version 2.2 hieß iptables übrigens ipchains, das man bei sehr alten Distributionen noch ab und an sieht.

Auf der Basis von Netfilter/iptables hat die Open-Source-Community eine große Zahl von Distributionen entwickelt, die ganz spezifisch auf die Bedürfnisse einer Firewall zugeschnitten sind. Linux besitzt ohnehin viele Vorteile, die es für den Einsatz als Sicherheitsplattform prädestinieren. So kommen linuxbasierte Firewalls mit sehr geringen Hardwareanforderungen aus. Das freut den Heimanwender, der sich aus dem ausrangierten Pentium III eine flotte Firewall baut. Bei einer Web-Abstimmung auf Sourceforge gab die Hälfte aller Teilnehmer an, ihre Firewall laufe auf einem Pentium I, II oder III. Im Notfall, oder wenn eine grafische Oberfläche nicht wichtig ist, genügt für die besprochenen Distributionen schon ein 486er.

Noch wichtiger ist die Genügsamkeit in puncto Leistung für die Industrie. Weil Linux-Firewalls auf Strom sparenden Prozessoren laufen können, benötigen sie keine Lüfterkühlung, sind deshalb geräuschlos und können wasserdicht oder explosionsgeschützt verpackt werden.

Wer eine Linux-Firewall über sein Netzwerk wachen lassen möchte, hat also reichlich Auswahl und kann persönliche Vorlieben, die Voraussetzungen des Netzwerkes und nicht zuletzt die zur Verfügung stehende Hardware in die Entscheidung mit einbeziehen. Gibt es zum Beispiel einen Webserver, der in einer Demilitarisierten Zone (DMZ) stehen soll, muss die Firewall mehrere Netz-Interfaces komfortabel verwalten. Viele Distributionen bieten auch Funktionen an, die über den üblichen Leistungsumfang hinausgehen. Spamfilter und Antivirenlösung sind genauso mit von der Partie wie URL-Filter, VPN-Gateways oder VoIP-Proxys. „Allerdings sollten kleinere Firmen eher auf die Angebote von ISPs und Mailprovidern zurückgreifen“, rät Volker Tanger, Sicherheitsconsultant bei Hisolutions. „Der dort angebotene Spam- und Virenschutz ist für kleinere Netze sowohl günstiger als auch deutlich einfacher zu handhaben als auf der Firewall.“ Sicherheits-Fanatiker werden dem beipflichten: Je mehr Dienste auf einer Firewall laufen, desto anfälliger ist sie für Sicherheitslücken. „Alles weg, was nicht unbedingt sein muss“ heißt denn auch die Devise einiger Distributionen. Devil-Linux kommt mit etwa zehn aktiven Prozessen aus.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

5 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago