Profi-Schutz für kleine Netze: Die Fünf-Minuten-Firewall

Schnell fertig und wenig Arbeit – das klingt nicht nur nach der Fünf-Minuten-Terrine, sondern gilt auch für die Massen von Linux-Firewall-Distributionen. Auf den Distributions-Verteilern wie Distrowatch warten in der Regel ein Dutzend Versionen auf ihren Download, insgesamt dürfte es an die Hundert Variationen geben. Die Bandbreite reicht von kostenlos oder für Geld, mit professioneller Hilfe oder ganz auf sich selbst gestellt, mit hübschen Web-Frontends oder spartanischer Shell-Konfiguration.

Auf den ersten Blick sind alle Linux-Firewalls gleich: Sie basieren auf Netfilter, einem Linux-Kernel-Modul, das Datenpakete abfangen und bearbeiten kann, sowie iptables, dem Dienstprogramm zur Konfiguration von Netfilter. Das Gespann kann Datenpakete auf der Vermittlungsschicht, der Transportschicht und teilweise auf der Anwendungsschicht verarbeiten. Damit sind die üblichen Firewall-Aufgaben abgedeckt: Paketfilter, Stateful Inspection, Application Proxy und Network Address Translation (NAT) samt Masquerading und Port-Weiterleitung. Bis zur Kernel-Version 2.2 hieß iptables übrigens ipchains, das man bei sehr alten Distributionen noch ab und an sieht.

Auf der Basis von Netfilter/iptables hat die Open-Source-Community eine große Zahl von Distributionen entwickelt, die ganz spezifisch auf die Bedürfnisse einer Firewall zugeschnitten sind. Linux besitzt ohnehin viele Vorteile, die es für den Einsatz als Sicherheitsplattform prädestinieren. So kommen linuxbasierte Firewalls mit sehr geringen Hardwareanforderungen aus. Das freut den Heimanwender, der sich aus dem ausrangierten Pentium III eine flotte Firewall baut. Bei einer Web-Abstimmung auf Sourceforge gab die Hälfte aller Teilnehmer an, ihre Firewall laufe auf einem Pentium I, II oder III. Im Notfall, oder wenn eine grafische Oberfläche nicht wichtig ist, genügt für die besprochenen Distributionen schon ein 486er.

Noch wichtiger ist die Genügsamkeit in puncto Leistung für die Industrie. Weil Linux-Firewalls auf Strom sparenden Prozessoren laufen können, benötigen sie keine Lüfterkühlung, sind deshalb geräuschlos und können wasserdicht oder explosionsgeschützt verpackt werden.

Wer eine Linux-Firewall über sein Netzwerk wachen lassen möchte, hat also reichlich Auswahl und kann persönliche Vorlieben, die Voraussetzungen des Netzwerkes und nicht zuletzt die zur Verfügung stehende Hardware in die Entscheidung mit einbeziehen. Gibt es zum Beispiel einen Webserver, der in einer Demilitarisierten Zone (DMZ) stehen soll, muss die Firewall mehrere Netz-Interfaces komfortabel verwalten. Viele Distributionen bieten auch Funktionen an, die über den üblichen Leistungsumfang hinausgehen. Spamfilter und Antivirenlösung sind genauso mit von der Partie wie URL-Filter, VPN-Gateways oder VoIP-Proxys. „Allerdings sollten kleinere Firmen eher auf die Angebote von ISPs und Mailprovidern zurückgreifen“, rät Volker Tanger, Sicherheitsconsultant bei Hisolutions. „Der dort angebotene Spam- und Virenschutz ist für kleinere Netze sowohl günstiger als auch deutlich einfacher zu handhaben als auf der Firewall.“ Sicherheits-Fanatiker werden dem beipflichten: Je mehr Dienste auf einer Firewall laufen, desto anfälliger ist sie für Sicherheitslücken. „Alles weg, was nicht unbedingt sein muss“ heißt denn auch die Devise einiger Distributionen. Devil-Linux kommt mit etwa zehn aktiven Prozessen aus.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

19 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

19 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago