Sicherheit zum Nulltarif

Eine Firewall soll das lokale Netz vor unerwünschten Blicken auf interne Netzstrukturen und Zugriffe von außen schützen. Bei der Überlegung, Linux als Basis für Firewallsysteme zu nutzen, sprechen gleich mehrere Faktoren für das freie Unix-Derivat. Ein wesentliches Argument ist, daß es ab der Kernelversion 1.2.1 alle Komponenten zum Aufbau von Firewallsystemen enthält. Sowohl einfache Paketfilter-Systeme als auch komplexere Proxy-Firewallsysteme sind mit einer der handelsüblichen Standarddistributionen (Suse, Redhat) aufzubauen. Auf der anderen Seite ist Linux hardwareseitig derart genügsam, daß auch ein ausgemusterter 80486er oder Pentium I-PC für den reinen Firewallbetrieb ausreicht. "Last but not least" bieten eine ganze Reihe von freien Tools Hilfestellung bei der Firewallkonfiguration an.

Entscheidet man sich für ein Linux-System als Firewall, gelten prinzipiell die gleichen Regeln wie für andere Unix-Varianten auch. Das System selbst ist jedoch vor der Firewallkonfiguration beim reinen Einsatz als Gateway-Rechner von einigen Systemdiensten zu befreien. Der Start von Server-Diensten durch den inetd sollte durch Auskommentieren der Zeilen in /etc/inetd.conf verhindert werden. Ebenso sind normalerweise aktive Dienste wie beispielsweise sendmail zu deaktivieren. Weiterhin muß man eventuell in der /etc/rc.d/rc.inet2 definierte Aufrufe von Daemon-Prozessen bis auf syslogd und inetd auskommentieren.

Um Linux als Firewallrechner einsetzen zu können, muß das System über mindestens zwei Netzwerk-Devices verfügen. Eines stellt dabei die Brücke nach außen dar, das andere liefert die Anbindung zum internen Netz. Als Netzwerk-Device können sowohl Internet-Karten als auch ein ISDN-Interface oder SLIP- und PPP-Devices dienen. Wichtig ist dabei jedoch, daß die Devices statisch vorhanden sein müssen und nicht dynamisch auftauchen und wieder verschwinden, was beispielsweise beim modularen Einsatz einer PPP-Verbindung der Fall wäre.