Home   Artikel   Archiv   Forum   Impressum  
Artikel vom 25.5.2002
Autor: Ronny Ziegler
Languages: en
Artikel bewerten:

Printer Druckversion
Helfen Sie mit!
 

Linux Firewall: Smoothwall & IPCop

Smoothwall ist eine auf Linux basierende "Spezialdistribution", die aus einem veralteten Rechner eine schnell zu installierende und per Web-Frontend zu bedienende Firewall zaubert.

Aber Smoothwall macht nicht nur durch positive Eindrücke von sich reden...

Für wen eignet sich eine Firewall?

Eine Firewall schützt das eigene Netz oder auch nur den eigenen Einzelplatzrechner beim Zugang zum Internet vor dem Zugriff Dritter auf die eigenen Dateien.
Ob sich der Aufwand der Installation einer Firewall bei einem selbst lohnt, hängt ganz vom eigenen Sicherheitsbedürfnis ab.
Besitzer einer Flat-Rate oder einer echten Standleitung sollten jedoch unbedingt eine Firewall benutzen, da viele Leute es sich zu einer Art Sport gemacht haben, den IP-Adressen-Pool bekannter Internetprovider nach PCs mit ungenügenden Sicherheitsvorkehrungen zu durchsuchen.
Besonders die für Computer-Neulinge konzipierte Zugangsanbieter wie T-Online und AOL sind beliebte Ziele von Crackern. Hier findet sich schnell ein User mit ungenügenden Sicherheitsvorkehrungen.

Häufig werden derart fehlerhaft konfigurierte Systeme genutzt, um illegale Dateien auf den Rechnern zu platzieren (via FTP oder SMB), die dann mit anderen Personen getauscht werden können, ohne eigene Bandbreite zu verbrauchen.

Spätestens dann, wenn Sie auf Ihrem System eigene Internet-Dienste anbieten (http, ftp, cvs, ssh, ...) sollten Sie eine Firewall installieren, um zumindest die ungenutzten Dienste für die Außenwelt zu sperren, um nicht noch mehr Einbruchsmöglichkeiten preiszugeben.

Viele Linux-Distributionen kommen mittlerweile mit eigenen Firewall-Lösungen, die dem Benutzer bei der Einwahl ins Internet zumindest ein Minimum an Sicherheitsgefühl vermitteln sollen.
Allerdings besitzen solche Lösungen einen großen Nachteil, da hier die Firewall zumeist auch Arbeitsrechner ist, und somit verschiedenste Leute einen Account für den Rechner besitzen. Besitzt allerdings ein Benutzer auf dem System, auf welchem die Firewall läuft, bereits einen Account, ist es um vieles einfacher, die Firewall auszuhebeln.

Aus diesem Grund sollte für die Firewall ein eigener Rechner abgestellt werden, auf dem nur der Administrator selbst Zugang hat. Sämtliche Dienste, die vom Internet aus erreichbar sein sollen (neben typischen Diensten wie HTTP, FTP auch bei Bedarf ein Shell-Account) sollten in eine sog. "Demilitarisierte Zone" (kurz DMZ) ausgelagert werden. Hierbei handelt es sich um einen Extra-Rechner, der getrennt vom eigentlichen LAN ist (d.h. dieser Rechner besitzt sein eigenes Subnetz ohne Routing zum LAN, in dem die Arbeitsrechner liegen), so daß etwaige Sicherheitslücken der DMZ nicht zwangsläufig einen Zugang zum viel sensibleren LAN erlauben.


Typische Netzwerktopologie mit LAN für Arbeitsrechner, Webserver innerhalb der DMZ und einer Firewall, die den Zugang zum Internet bereitstellt.

Ein derartiger Aufbau des Netzwerks ist natürlich nicht die einzige Möglichkeit. So kann beim Internetzugang einer Privatperson häufig auf die demilitarisierte Zone gänzlich verzichtet werden, falls man keine Dienste fürs Internet anbieten möchte.
Denkbar wäre auch ein weiterer Rechner, der nur mit der Firewall kommuniziert und dessen Log-Dateien speziell gesichert archiviert. Dadurch wird es einem Einbrecher zusätzlich erschwert, seine Einbruchsspuren zu verwischen. Mit derartigen Feinheiten wollen wir uns aber hier nicht beschäftigen, sondern uns eher der obigen "Standardkonfiguration" zuwenden.

Smoothwall

Die Einrichtung einer simplen Firewall ist zwar kein unüberwindbarer Aufwand, jedoch sollten grundlegende Kenntnisse über Routing, Port-Weiterleitung und Paket-Filterung bekannt sein.
Häufig übersteigt dies aber bereits die Kenntnisse des heutigen Durchschnitts-Users, und selbst viele Mittelstands-Firmen können es sich nicht leisten, eine eigene EDV-Abteilung zu besitzen, um qualifiziertes Personal zur Wartung einer Firewall einzustellen.

Denn genauso kritisch wie eine vernünftige Installation ist auch die andauernde Betreuung einer Firewall. Das regelmäßige Stopfen von aufgetretenen Sicherheitslöchern ist nicht minder wichtig, um eine Sicherheit des Netzes gewährleisten zu können.

Smoothwall von der Firma "Smoothwall Limited" versucht genau in diese Lücke zu springen und eine einfach zu installierende Firewall dem Benutzer in die Hand zu geben, die gleichzeitig mittels Sicherheits-Updates mit kleinstem Arbeitsaufwand auf aktuellem Stand gehalten werden kann.
Smootwall kommt in Form einer aufs nötigste reduzierten RedHat-Distribution mit Kernel 2.2 und ist so ausgerichtet, daß Sie auch auf alter Hardware läuft (Minimum ist ein 4x86 mit mindestens 16MB Ram und einer 300MB großen Festplatte).
Die Distribution wird unter der GP-Lizenz entwickelt und ist unter http://www.smoothwall.org als ISO-Image erhältlich.

Installation

Weil sich Smootwall ausdrücklich auch an den "Firewall-Anfänger" richtet, ist die Installation sehr simpel gestaltet.
Am einfachsten ist der Weg mittels bootfähiger CD. Das zugehörige knapp 23MB große ISO-Image erhält man auf der Smoothwall-Homepage. Die momentan aktuellste Version ist 0.9.9SE, die sich von der Variante 0.9.9 dadurch unterscheidet, daß bereits 6 Sicherheitspatches eingespielt wurden. Allerdings gibt es bereits 6 weitere Patches, die unmittelbar nach der Installation eingefügt werden sollten.

Weil Smootwall speziell für ältere PC-Systeme ausgelegt wurde, die jedoch häufig nicht mit einem CD-Rom-Laufwerk ausgestattet sind (zumindest keinem bootfähigen), ist auch eine Installation mittels Boot-Disketten vorgesehen.
Diese sind jedoch nicht auf der Smoothwall-Homepage erhältlich, sondern müssen per Hand aus dem ISO-Image extrahiert werden.

Dies geschieht mittels Benutzung des Loop-Devices, welches einem erlaubt, ISO-Images genauso wie eine normale CD zu mounten.
Als Superuser (root) fürt man nun folgende Befehle aus:

  >> losetup /dev/loop0 /pfad/zum/smootwall-0.9.9.iso
  >> mount -t iso9660 /dev/loop0 /mnt/cdrom
  
(Achtung: Das ISO-Image darf sich dabei nicht in einem NFS-Verzeichnis befinden)
Nun findet man im Unterverzeichnis /mnt/cdrom den Inhalt des ISO-Images, als hätte man sie tatsächlich ins Laufwerk gelegt.
Die benötigten Diskettenimages befinden sich nun im Unterverzeichnis /mnt/cdrom/images/ mit den Namen boot-0.9.9.img und drivers-0.9.9.img, welche darauffolgend mittels dd auf die Disketten geschrieben werden sollten (auch hierfür benötigt man root-Rechte):
  >> dd if=/mnt/cdrom/images/boot-0.9.9.img of=/dev/fd0 bs=1k count 1440
  
und analog für die Treiber-Diskette.
Das eigentliche ISO-Image plaziert man nun im Netz auf einem Web- oder FTP-Server, damit sich Smoothwall die Datei später bei der Installation mittels wget übers Netz herunterladen kann.

Nun kann man entweder mittels bootfähiger CD-Rom oder mit den erzeugten Disketten die Installation starten. Aber Vorsicht: Smoothwall erlaubt kein Betriebssystem neben sich; es löscht während der Installation unwiderruflich die gesamte Festplatte und ist somit nicht für einen Test auf Ihrem Arbeitsplatzrechner geeignet.
Der Benutzer hat keine Möglichkeit in den Prozess der Festplatten-Partitionierung einzugreifen, stattdessen erfolgt die Aufteilung in Boot-, Swap, Log- und System-Partition vollautomatisch.

Die Eingaben während der Installation sind auf ein Minimum beschränkt; Probleme könnten eigentlich nur die Netzwerkkarten bereiten. Speziell bei ISA-Netzwerkkarten versagt häufig eine automatische Erkennung, hier muß dann manuell die IO- und eventuell auch noch die IRQ-Adresse eingegeben werden.
Aber auch moderne PCI-Karten mit Plug'n'Play können bei alten Mainbords zu seltsamen Erscheinungen führen. Hier versagt häufig die automatische IRQ-Zuweisung.
Abhilfe schafft hier eine explizite Zuweisung der IRQ-Adressen zu den jeweiligen PCI-Slots des Boards, welche direkt im BIOS vorgenommen werden kann.

Nähere Hinweise zur Installation liefern die sehr ausführlichen Anleitungen, die sowohl in englisch, als auch in deutsch erhältlich sind unter http://www.smoothwall.org/community/docs/.

Großer Nachteil der Installation ist das Fehlen jeglicher Fehlertoleranz. Nicht nur, daß es keine Möglichkeit gibt eine fehlerhaft erfolgte Eingabe nachträglich mittels eines "Zurück"-Knopfes erneut zu tätigen, zusätzlich wird bei jedem Auftreten eines Fehlers die Installationsprozedur abgebrochen, und es wird nur die Möglichkeit eines Reboots angeboten.

Zwar besitzt das Installationsprogramm eine Minimal-Shell, jedoch ist ihr Einsatz fraglich, da nach Auftreten des Fehlers sowieso ein Reboot erfolgen muß. Ein Lösen des Problems per Hand ist somit auch von der Shell aus nicht möglich.

So trat z.B. beim Testsystem A während der Initialisierung der Swap-Partition immer ein I/O-Error auf. Ein Lösen des Problems konnte nicht erfolgen.
Stattdessen blieb nur ein Ausweichen auf die älteren Boot-Disketten der 0.9.9, wobei anschließend problemlos das ISO-Image der 0.9.9SE übers Netz installiert werden konnte.

Testsysteme
Testsystem A
  4x86DX2-66
  1x PCI NE-2000 komp. (RealTek)
  2x ISA NE-2000 komp. (RealTek)
  Seagate ST32132A, 2015MB w/120kB Cache
  8 MB Ram (70ns)
  
 
Testsystem B
  Intel Pentium 166
  2x PCI NE-2000 komp. (RealTek)
  1x ISA NE-2000 komp. (RealTek)
  Seagate ST32132A, 2015MB w/120kB Cache
  32 MB Ram (60ns)
  


Im nächsten Installationsschritt müssen die zusätzlichen Netzwerkkarten und, falls vorhanden, die ISDN-Karte installiert werden.
Um die Administration der Firewall möglichst einfach zu gestalten, werden die einzelnen Subnetze, zwischen denen die Firewall später vermitteln soll, nach Farben eingeteilt.

  • Die rote Netzwerkkarte steht für die Verbindung zum Internet, also dem am wenigsten vertrauenswürdigen Teil des Netzwerkes. Diese Verbindung kann wahlweise mittels Modem, DSL oder ISDN aufgebaut werden (es werden sogar USB-DSL Modems unterstützt).
  • Hinter der orangen Netzwerkkarte verbirgt sich die demilitarsierte Zone, also der "halbwegs" vertauenswürdige Bereich.
  • Verbindung zum LAN wird durch die grüne Netzwerkkarte bereitgestellt.
Das Benutzen einer orangen Netzwerkkarte ist natürlich optional, da nicht jeder Benutzer eine DMZ einsetzen möchte.
Nach Eingabe der Passwörter für den Superuser (root) und des Administrators, mit dessen Account man sich später beim Web-Frontend anmelden kann, ist die Installation bereits abgeschlossen.

Konfiguration und Administration

Nach erfolgter Installation und dem nachfolgenden Reboot kann man die Firewall mittels Webbrowser vom LAN aus unter der eingestellten IP-Adresse (z.B. 192.168.1.1) erreichen.
Die Verbindung kann einerseits via HTTP auf Port 81 oder mittels HTTPS auf Port 445 erreicht werden.
Dies erleichtert die Administation des Rechners natürlich ungemein, allerdings geht davon auch eine nicht zu unterschätzende Gefahr aus. Denn nichts ist leichter, als ein via HTTP übertragenes Passwort abzufangen; allerdings muß der Angreifer dafür natürlich bereits im LAN sitzen, um den Netzwerkverkehr zur Firewall abhören zu können.
Dieser Gefahr bewusst, sollte man bei potentiellen Mitlauschern die verschlüsselte HTTPS-Verbindung bevorzugen.

Zugriff auf das Linux-System der Firewall kann weiterhin mittels SSH erfolgen. Hierfür kommt das Web-Frontend mit einem auf Mindterm (www.appgate.com/mindterm/) basierenden Applet, welches die SSH-Verbindung zum Server herstellt. (Aus lizenzrechtlichen Gründen unterstützt Mindterm aber noch nicht das SSH2-Protokoll, so daß die Verbindung mittels SSH1 hergestellt wird.)


SSH-Sitzung per Java-Applet. Smoothwall sucht gerade nach der neu installierten Netzwerkkarte.

Von der somit geöffneten Konsole aus lassen sich nun Änderungen am System vornehmen, wobei die Konsole wohl hauptsächlich für Konfiguration der Netzwerkkarten genutzt wird, denn die meisten anderen anfallenden Aufgaben lassen sich auch per Web-Frontend und den damit erreichbaren CGI-Skripten erledigen.
Für die nachträgliche Konfiguration der Netzwerkkarten ist das eigens für Smoothwall programmierte Programm "setup" konzipiert.
Mit Hilfe dieses Programmes kann man sogar die Netzwerkkarten über eine Netzwerksitzung konfigurieren, denn beim Laden und Entfernen der Kartentreiber wird penibel darauf geachtet, daß die bestehende SSH-Sitzung nicht unterbrochen wird.

Das Einspielen neuer Updates gestaltet sich dank Web-Frontend spielend einfach. Hat man erstmal die neuesten Patches von der Smoothwall-Homepage heruntergeladen (http://www.smoothwall.org/community/get/download/patches/), kann man diese mittels Web-Browser auf die Firewall hochladen und automatisch installieren lassen. Abhängig von der Art des Patches muß die Firewall danach u.U. neu gebootet werden (was auch via Web-Frontend getätigt werden kann).
Allerdings sollte der Benutzer schon ein Grundvertrauen in den Web-Server von www.smoothwall.org besitzen. Sollte dieser nämlich gecrackt, und die dortigen Patches manipuliert werden, würden alle Smoothwall-Systeme mit blindem Vertrauen diese Pakete installieren.
Zumindest ein MD5-Wert der Pakete könnte das Vertrauen in die getätigten Updates steigern, leider gibt es derartige Angaben nicht...

Paranoide Naturen sollten ihre Firewall erst im bereits existierenden LAN installieren und konfigurieren und erst nach Installation aller Patches gegen eine vielleicht bereits existierende Firewall austauschen. Allerdings lassen sich Updates erst installieren, wenn die Firewall die Internetverbindung selbst aufgebaut hat, und somit korrekte Gateway-Einstellungen besitzt. Denn die Firewall installiert Patches erst, nachdem eine Liste der offiziell erhältlichen Dateien aus dem Netz geladen werden konnte. Dafür muß aber der noch alte Gateway des vorerst noch genutzten Rechners eingestellt werden, der die Internet-Verbindung aufgebaut hat. Dazu gibt man in der SSH-Konsole folgendnen Befehl ein:

  >> route add default gw 192.168.1.1
  
wobei als IP-Adresse selbstverständlich diejenige des eigenen Gateways eingesetzt wird.

Probleme beim Einspielen der Updates traten beim Testsystem A auf. Hier konnten die umfangreicheren Patches (speziell Fix-4) nicht eingespielt werden, da der Web-Browser noch vor Beenden der Installation in ein Time-Out lief. Da das System nur über 8MB RAM verfügte, und der PC bei der Installation viel Gebrauch von der SWAP-Partition machte, dauerte die Patch-Installation einfach zu lange.
Dummerweise wurde die Installation des Patches aufgrund des Time-Outs nicht beendet.
Eine Installation per Hand hätte natürlich problemlos Abhilfe gebracht, doch gibt es dazu keine Dokumentation (Es reicht aber, die Patch-Datei mittels scp auf die Firewall zu übertragen, dort zu entpacken und das darin enthaltene Script "setup" auszuführen. Allerdings erscheint das Patch dann nicht der Update-Liste der Web-Seite.)
Ein 4x86 mit 8MB Ram war demnach eindeutig zu schwach ausgerüstet für die Firewall.

T-DSL

Weiterer wichtiger Aspekt für viele Benutzer ist bestimmt die Unterstützung von T-DSL.
Smoothwall unterstützt von Haus aus DSL Verbindungen und kann in den meisten Fällen auch zusammen mit T-DSL benutzt werden. Jedoch ist die Eingabe des User-Namens bei T-DSL etwas umständlich, da dieser aus mehreren personengebunden Daten zusammengesetzt werden muß.

Als T-Online-Kunde erhält man z.B. folgende Personendaten:

  • Anschlusskenung - 000920367867
  • Zugehoerige T-Online-Nummer - 530014442280
  • Mitbenutzernummer/Suffix - 0001
  • Personliches Kennwort - 03387223
Der einzustellende Username setzt sich nun aus Anschlusskennung, T-Online-Nummer, Mitbennutzernummer und dem Zusatz @t-online.de zusammen, also in unserem Beispiel:
  Username : 000920367867530014442280001@t-online.de
  
Als Passwort wird ganz ohne Zusatz das Persönliche Kennwort benutzt:
  Password : 03387223
  
Die Einträge "Service name" und "Concentrator name" können freigelassen werden.

Die T-DSL-Einwahl funktioniert allerdings nicht bei allen Zugängen. Sollten Sie zu denjenigen Personen gehören, die zu den allerersten DSL-Kunden von T-Online gehören, kann es zu Problemen beim Verbindungsaufbau kommen. In diesem Fall wählt die Firewall ohne Erfolg.
In der "/var/log/messages" Datei finden Sie dann auch den Eintrag

  T-DSL :"Timeout waiting for PADO socket"
  
Was ist da passiert? Die Antwort geht etwas ins Detail, soll aber nicht verschwiegen werden:
Zum Aufbauen der DSL-Verbindung schickt ihre Netzwerkkarte per Broadcast eine Anfrage an die Gegenseite und wartet dann auf eine Antwort. Sollte es keine Antwort geben, wird die Anfrage noch einige male wiederholt, bis aufgegeben wird.
Die Anfragen der Netzwerkkarte kann man z.B. mittels des Tools tcpdump mitbelauschen. Ein standardmäßiger Aufbau einer PPPoE-Verbindung würde dann etwa fonlgendermaßen mitzulesen sein

tcpdump -i ppp0
(1) PPPoE PADI [Service-Name] [Host-Uniq UTF8]
(2) PPPoE PADO [Service-Name] [Host-Uniq UTF8] [AC-Name "DTMC13-nrp5"] [AC-Cookie UTF8]
(3) PPPoE PADR [Service-Name] [AC-Cookie UTF8] [AC-Name "DTMC13-nrp5"] [Host-Uniq UTF8]
(4) PPPoE PADS [ses 0x5340] [Service-Name] [AC-Cookie UTF8] [AC-Name "DTMC13-nrp5"] [Host-Uniq UTF8]
(5) PPPoE [ses 0x5340] LCP ConfReq [...]


Schritt (1) ist der Broadcast der Netzwerkkarte an den Server der Gegenseite. Dieser antwortet daraufhin unter (2) mit seinem Namen (Access-Concentrator Name) und bietet uns seine Dienste an.
Als Antwort schicken wir ihm dann unter (3) eine Anfrage über den von uns gewünschten Dienst zurück ("Service Request"). Letztendlich wird dann unter (4) vom Access-Concentrator die Verbindung aufgebaut (im Beispiel mit der Verbindungsnummer 0x5340). Ab (5) findet dann die Kommunikation via PPP-Over-Ethernet statt. Die Verbindung wurde erfolgreich aufgebaut. (viele weitere interessante Informationen zum Thema DSL findet man unter http://www.ruhr.de/home/nathan/FreeBSD/tdsl-freebsd.html, allerdings für FreeBSD-Systeme.)

Leider antworten die älteren T-Online Access-Concentrator nicht auf den Broadcast des Linux-PCs, so daß keine Verbindung aufgebaut werden kann. Abhilfe schafft zwar normalerweise eine neuere Version des PPPoE Treibers wie z.B. die Treiber von "Roaring Penguin" http://www.roaringpenguin.com/pppoe/, allerdings bleibt das Austauschen solcher Komponenten bei "All-In-One" Systemen wie Smoothwall nicht ohne Folgen, weil danach die Bedienung der PPPoE-Verbindung mittels Web-Frontend u.U. nicht mehr funktioniert. Die Komponenten des Systems sind eben zu sehr voneinander abhängig.

Sollten Sie unglücklicherweise einer dieser T-DSL-Kunden sein bei denen die Gegenseite gerne Stumm bleibt, ist ein Einsatz von Smoothwall schlicht nicht möglich.
In diesem Fall müssen Sie auf IPCop (s.u.) ausweichen, da für diese Firewall bereits das nötige Update der PPPoE Treiber existiert. Mehr dazu aber später.

Weitere Eigenschaften

Smoothwall kommt mit einer Reihe weiterer nützlicher Tools, die bequem per Web-Frontend konfiguriert werden können.
Zunächst natürlich erstmal die Regeln, welche Ports in die demilitarisierte Zone weitergeleitet, bzw. welche abgeblockt werden.
Zusätzlich kommt Smoothwall mit integriertem DHCP-Server und Web-Proxy (Squid). Außerdem können mehrere Einwahl-Profile erstellt werden, so daß zwischen verschiedenen Zugangsanbietern ausgewählt werden kann.
Weiterhin kann ein "Intrusion Detection System" (kurz IDS) aktiviert werden, welches eine Vielzahl von Angriffsversuchen erkennt und protokolliert. Eine tiefergehende Konfiguration dieses Tools ist jedoch nicht (zumindest per Web-Frontend) möglich.

Sehr hilfreich ist auch die integrierte Unterstützung von dynamischen DNS-Anbietern, wie z.B. www.dyndns.org, die es einem Internet-User ermöglichen, trotz wechselnder IP-Adresse bei jeder Internet-Einwahl ständig unter dem selben Domain-Namen erreichbar zu sein.
Möchte man von der DMZ aus Dienste fürs Internet anbieten, besitzt aber keine feste IP-Adresse, ist ein derartiger Dienst unschätzbar, und dabei sogar größtenteils kostenlos erhältlich.

Die Einwahl mittels ISDN-Karte wird selbstverständlich auch unterstützt. Allerdings ist eine Kanalbündelung hierbei nicht möglich.

Sehr interessant ist auch die Installation eines VPN (Virtual Private Networks). Hiermit kann man zwei verschiedene LANs über das Internet miteinander verbinden. Sämtliche Kommunikation, die dabei über das Internet läuft, wird dabei verschlüsselt übertragen. Auf der Gegenseite muß dafür nicht einmal eine weitere Smoothwall Firewall stehen, sondern nur ein System, welches das benutzte IPSEC unterstützt.

Für weitere Fragen bezüglich der Installation und Administration der Firewall gibt es sowohl eine Mailing-Liste als auch einen IRC-Kanal für dringende Fragen. Weitere Hinweise findet man unter: http://www.smoothwall.org/community/interact/

Firmenphilosophie

Wie es scheint, ist Smoothwall doch ein durch-und-durch gelungenes Paket, trotz vielleicht kleinerer Mängel. Allerdings hat es Smoothwall geschafft, regelmäßig schlechte Presse zu erhalten. Weniger wegen eines minderwertigen Produktes, sondern vielmehr wegen der Firmenpolitik der hinter Smoothwall stehenden Firma "Smoothwall Limited".

Smoothwall Limited verdient ihr Geld mit Sicherheitstechnik, speziell eben professionelle Firewalls. Die unter GPL vertiebene Smoothwall ist sozusagen die kleine Schwester dieser professionellen Varianten.
Leider wird die Smoothwall-GPL-Variante anscheinend auch mit entsprechend geringer Priorität behandelt.

Am ehesten verdeutlicht dies wohl folgende Mail, die Guido Stepken (bestimmt einigen bekannt als Sicherheits-Experte und insbesondere durch seine Firewall-Texte unter www.little-idiot.de/firewall/) erhalten hat, nachdem er "Smoothwall Limited" auf eine Reihe von Sicherheitslöcher hinwies:

Mail-Antwort von Smoothwall
  ....
  I have sent this off to the submissions department to be evaluated.  They
  will reply to you to get more specifics.  I am not going to approve it to
  the list until they have had a chance to verify that these things are
  "solved", but some of what you have solved, are the things we have in the
  corporate version, and so putting them in the GPL version prevents us a
  chance to make a living.
  
  So many people tell us they don't want us to ask for money for GPL, this
  will only ensure that we can't make money with the commercial either.
  
  I believe I also said in the first reply that sales@smoothwall.org does send
  a receipt to those who donate, but that is also not handled by this list,
  but by them.
  
  
  
  Rebecca Ward
  Worldwide Online Manager
  Smoothwall Users List Co-Moderator
  


Nicht nur, daß Sicherheitsupdates anscheinend niedrigere Priorität bei der GPL-Variante haben, es entsteht hier zusätzlich noch der Eindruck, daß einige Sicherheits-Updates gar nicht in die GPL-Variante einfließen sollen, damit ein Kaufanreiz für die kostenpflichtigen Varianten entstehen.
Aber welcher GPL-Entwicker sollte dann noch Sicherheitsmängel an Smoothwall-Limited melden, wenn er dabei immer den Eindruck erhält statt für die Linux-Gemeinschaft, einer Firma in die Hand zu arbeiten?

Die Lösung dieses Problems war kurz und einfach. Da Smoothwall unter GPL vertrieben wird, und dementsprechend auch der Quellcode zur Verfügung stehen mußte, entschlossen sich mehrere freie Entwickler, basierend auf diesem Quellcode eine eigene Firewall-Distribution zu veröffentlichen (einen sog. "Fork" zu tätigen). Dies führte (und führt eigentlich immer noch) zu Spannungen zwischen den IP-Cop Entwicklern und Richard Morrell von Smoothwall.
Weil "Smothwall Limited" nun nicht mehr so überzeugt vom Schritt in Richtung GPL ist, wird die GPL-Variante bis auf Sicherheitspatches nun nicht mehr weiterentwickelt, und soll demnächst durch ein sog. "Smoothwall Lite" ersetzt werden, die dann unter einer eigenen Lizenz vertrieben wird.
Ein Grund mehr, auf den GPL-Fork umzusteigen. Diese neue Variante hat nun den Namen ...

IPCop IPCOP-Logo

und ist unter ipcop.sourceforge.net erhältlich. IPCop basiert momentan noch vollständig auf Smoothwall-0.99SE, bietet aber einige weiterführende Sicherheits-Updates an, die Smoothwall nicht enthalten hatte, oder erst mit Verspätung lieferte.
Installation und Administration verlaufen entsprechend absolut analog wie bei Smoothwall, nur daß die Logos ausgetauscht wurden und die Installation bisher nur auf englisch erfolgt.

Entsprechend hatte auch IPCop Probleme bei der Installation auf dem Testsystem A, ließ sich aber auf dem System B fehlerfrei installieren.


Einspielen neuer Updates bei IP-Cop.

Vor allem diejenigen, die unter Smoothwall Probleme mit ihrem T-DSL Zugang hatten, sollten umgehend auf IP-Cop umsteigen, da hier die bereitgestellten Updates das oben beschriebene Fehlverhalten beheben.

Um diese Updates aber einspielen zu können, benötigt man eine Verbindung zum Internet. Diese muß folglich vorerst ersatzweise durch einen anderen Gateway-Rechner aufgebaut werden.
In der IP-Cop Konsole stellt man daraufhin diesen anderen Rechner als Gateway mittels:

  >> route add default gw 192.168.1.1
  
ein, wobei die IP-Adresse natürlich abhängig vom eigenen Gateway ist.
Zusätzlich muß die Namensauflösung in der Datei /etc/resolv.conf konfiguriert werden. Ganz ohne jeglichen Editor geht sowas schnell mittels
  >> echo "nameserver 212.185.253.70" > /etc/resolv.conf
  
Nun können die Sicherheits-Patches problemlos eingespielt werden und ab dann die Internet-Verbindung mittels IP-Cop aufgebaut werden.

Ansonsten sind beide Distributionen nahezu identisch, so daß sämtliche unter Smoothwall zur Verfügung stehende Eigenschaften auch unter IP-Cop zur angeboten werden.


Kofiguration des Dynamischen DNS-Anbieters.

Die Entwickler basteln bereits an einer neuen Version von IPCop, die auch intern grundlegend neustrukturiert sein soll und dann nicht mehr auf "Smoothwall GPL" basiert.
Bis diese Entwicklung abgeschlossen ist, wird weiterhin die bisherige Version durch Updates gepflegt.


Links:



Anmerkungen zu diesem Artikel


[2]  ipcop ipcop und squidKellner18-5-2003
[10]  ipcop kein zugriff in die dmz opi21-2-2003
[4]  Smoothwall 1.0 Fehler bei Installationpaule19-2-2003
[2]  IPCOP GUI PORT KONFIGURATION Port KonfigurationSchuemi19-2-2003
[2]  IPCop und Starmoney keine TCP-VerbindungMr. Big18-2-2003
[5]  Smoothwall + Co Autom. Reconnectalex21-1-2003
[2]  IPCop / Smoothwall JANHB29-11-2002
[7]  SmoothWall & AVM Probleme mit ISDN-Adapterkonstant14-11-2002


Eigene Anmerkung eintragen