OpenSmallOffice - Netzwerk-Tipp Firewall

Warnung: Ich verweise ausdrücklich an dieser Stelle auf die zahlreich vorhandene Fachliteratur, da ein schlecht konfiguriertes Netzwerk nicht nur zu Fehlfunktionen führen kann, sondern auch zu Sicherheitslücken, die bis zur Möglichkeit der Datenspionage und damit zum Verlust Ihrer Daten an Dritte führen kann.

Netzwerk-Tipps: Firewall

Nachdem ich den Bereich der Netzwerk-Tipps schon mit einer Warnung begonnen habe, möchte ich an dieser Stelle gleich mit dem Thema Sicherheit und Firewall beginnen - auch wenn Sie im Zuge der Installation der openSUSE-Basis erst im späteren Verlauf an diesen Punkt kommen werden.

Bei uns im Büro realisieren wir den Internetzugang über eine DSL-Flatrate, und haben für die Verbindung 'Netzwerk' --> 'Internet' einen Router von unserem Internetprovider erhalten, der bereits mit einer Firewall ausgestattet ist. Dies ist in Deutschland sicherlich eine gängige Praxis in kleineren Büros. Während einer Sicherheitsveranstaltung habe ich dann aber live erleben dürfen, wie rasch sich solcher - man kann es fast nicht anders sagen - einfach gestrickten Router aus dem Tritt bringen lässt und die "Hürde" Firewall des Routers nachgab. Wäre die Demonstration via Internet auf unseren Router durchgeführt worden, hätten unsere Daten den geneigten Teilnehmern der Veranstaltung dargelegen wie auf einem Präsentierteller.

Das Problem bei solchen Routern: Sie haben kaum eine Möglichkeit, die vermeintliche Sicherheit zu überprüfen. Natürlich kann man via Portscan prüfen, ob ein bestimmter Port und damit Dienst via Internet erreichbar ist - Ihnen fehlt aber jegliche Kontrolle darüber, ob durch gezielte Angriffe von außen ein Einbruchsversuch stattgefunden hat und - noch schlimmer - ob dieser erfolgreich war !

Grundsatz: Verlassen Sie sich nicht auf Technik, die Ihnen als Sicher angeboten wurde, sondern sorgen Sie immer für Kontrolle !

Wir haben nun das interne Netzwerk mit einer externen Lösung gesichert - genauer mit einem separaten, älteren PC, auf dem die Software IPCop ihren Dienst verrichtet. Sie ist für die ( dauerhafte ) Einwahl ins Internet verantwortlich, trennt durch physikalische Separation das LAN vom WLAN und kontrolliert, wer aus dem LAN Zugriff auf unsere Server erlangt. Diese Trennung und Kontrolle findet auf einer niederen Ebene der Netzwerkprotokolle statt und kann mittels Auswertung der Log-Dateien verifiziert werden.

Die Software IPCop ist eine kostenfreie, auf OpenSource basierende Firewall, die ihre Funktionalität in zahlreichen Installationen, auch in großen Netzwerken, unter Beweis gestellt hat. Ich kann an dieser Stelle nur ausdrücklich empfehlen, den Mehraufwand beim Einrichten des Netzwerks sowie die Mehrkosten für den Betrieb einer externen Lösung nicht zu scheuen. Spätestens dann, wenn Sie das erste mal einen Blick in die Log-Dateien einer solchen Firewall geworfen haben, werden Sie feststellen, wie häufig jemand "an Ihre Tür" klopft. Zwar ist dies nicht in jedem Fall der Versuch, in Ihr Netzwerk einzudringen, aber vielfach !

Nun empfehle ich Ihnen zwar ein Stück Software, und sage, das Sie damit ein Stück Sicherheit erhalten, was ja eigentlich gegen den obigen Grundsatz verstößt - in diesem Fall ist es aber nicht ein einzelner Hersteller wie im Falle des Routers, der Ihnen sagt, es sei sicher, sondern eine Vielzahl von Anwendern, Sicherheitsfachleuten und Entwicklern. Daher sollten Sie dem durchaus etwas Vertrauen schenken. Schauen Sie sich die Software ruhig einmal an - die Homepage finden Sie unter der Adresse www.ipcop.org, und unter www.ipcop-forum.de eine deutschsprachige Community.

Auf einige erste Fragen gehen ich hier ein: OpenSmallOffice - Netzwerk-Tipps - FAQ