Profi-Schutz für kleine Netze: Die Fünf-Minuten-Firewall

Schnell fertig und wenig Arbeit – das klingt nicht nur nach der Fünf-Minuten-Terrine, sondern gilt auch für die Massen von Linux-Firewall-Distributionen. Auf den Distributions-Verteilern wie Distrowatch warten in der Regel ein Dutzend Versionen auf ihren Download, insgesamt dürfte es an die Hundert Variationen geben. Die Bandbreite reicht von kostenlos oder für Geld, mit professioneller Hilfe oder ganz auf sich selbst gestellt, mit hübschen Web-Frontends oder spartanischer Shell-Konfiguration.

Auf den ersten Blick sind alle Linux-Firewalls gleich: Sie basieren auf Netfilter, einem Linux-Kernel-Modul, das Datenpakete abfangen und bearbeiten kann, sowie iptables, dem Dienstprogramm zur Konfiguration von Netfilter. Das Gespann kann Datenpakete auf der Vermittlungsschicht, der Transportschicht und teilweise auf der Anwendungsschicht verarbeiten. Damit sind die üblichen Firewall-Aufgaben abgedeckt: Paketfilter, Stateful Inspection, Application Proxy und Network Address Translation (NAT) samt Masquerading und Port-Weiterleitung. Bis zur Kernel-Version 2.2 hieß iptables übrigens ipchains, das man bei sehr alten Distributionen noch ab und an sieht.

Auf der Basis von Netfilter/iptables hat die Open-Source-Community eine große Zahl von Distributionen entwickelt, die ganz spezifisch auf die Bedürfnisse einer Firewall zugeschnitten sind. Linux besitzt ohnehin viele Vorteile, die es für den Einsatz als Sicherheitsplattform prädestinieren. So kommen linuxbasierte Firewalls mit sehr geringen Hardwareanforderungen aus. Das freut den Heimanwender, der sich aus dem ausrangierten Pentium III eine flotte Firewall baut. Bei einer Web-Abstimmung auf Sourceforge gab die Hälfte aller Teilnehmer an, ihre Firewall laufe auf einem Pentium I, II oder III. Im Notfall, oder wenn eine grafische Oberfläche nicht wichtig ist, genügt für die besprochenen Distributionen schon ein 486er.

Noch wichtiger ist die Genügsamkeit in puncto Leistung für die Industrie. Weil Linux-Firewalls auf Strom sparenden Prozessoren laufen können, benötigen sie keine Lüfterkühlung, sind deshalb geräuschlos und können wasserdicht oder explosionsgeschützt verpackt werden.

Wer eine Linux-Firewall über sein Netzwerk wachen lassen möchte, hat also reichlich Auswahl und kann persönliche Vorlieben, die Voraussetzungen des Netzwerkes und nicht zuletzt die zur Verfügung stehende Hardware in die Entscheidung mit einbeziehen. Gibt es zum Beispiel einen Webserver, der in einer Demilitarisierten Zone (DMZ) stehen soll, muss die Firewall mehrere Netz-Interfaces komfortabel verwalten. Viele Distributionen bieten auch Funktionen an, die über den üblichen Leistungsumfang hinausgehen. Spamfilter und Antivirenlösung sind genauso mit von der Partie wie URL-Filter, VPN-Gateways oder VoIP-Proxys. „Allerdings sollten kleinere Firmen eher auf die Angebote von ISPs und Mailprovidern zurückgreifen“, rät Volker Tanger, Sicherheitsconsultant bei Hisolutions. „Der dort angebotene Spam- und Virenschutz ist für kleinere Netze sowohl günstiger als auch deutlich einfacher zu handhaben als auf der Firewall.“ Sicherheits-Fanatiker werden dem beipflichten: Je mehr Dienste auf einer Firewall laufen, desto anfälliger ist sie für Sicherheitslücken. „Alles weg, was nicht unbedingt sein muss“ heißt denn auch die Devise einiger Distributionen. Devil-Linux kommt mit etwa zehn aktiven Prozessen aus.