Der Schutz des Firmen-Netzwerks durch eine vernünftige Firewall ist unbedingt notwendig. Solche Lösungen sind jedoch oft recht kostspielig. Letzteres muss aber für den Einsatz in mittelständischen Betrieben, kleinen Büros oder bei Heimanwendern nicht gelten. Freie Programme sind in den letzten Jahren erwachsen geworden und bieten für dieser Unternehmen alle nowendigen Funktionen. Kostenlose Lösungen sind außerdem in größeren Firmen auch keine Seltenheit mehr.
Im Linux-Sektor gibt es einige gute Lösungen, die Sie kostenlos downloaden und installieren können. „The bad packets stop here“ - das ist der Wahlspruch der Linux-Distribution IPCop. Dabei ist dieses Betriebssystem nicht nur eine simple Firewall, sondern beherrscht unter anderem auch Intrusion Detection, DHCP- und Proxy-Server-Dienste, VPN und NTP.
In diesem TecChannel-Beitrag zeigen wir Ihnen, wie Sie die Distribution aufsetzen und administrieren. Neben dem Webfrontend bringen wir Ihnen die Funktionen des Systems näher, erklären die grundlegenden Squid-Einstellungen, wie Sie Ihren Traffic optimieren oder wie Sie mittels Snort Einbruchsversuche erkennen. Ebenso wollen wir Ihnen einen Ausblick auf die kommende Version 2.0 geben, die sich derzeit noch in der Testphase befindet.
Eine umfangreiche Dokumentation, FAQ und Links zu Foren finden Sie unter http://www.ipcop.org. Auf der Homepage gibt es auch einen Link zum Downloaden des etwa 42 MByte großen ISO-Images. Laut Entwickler ist jede Ausgabe nach 1.4.20 nur noch eine Wartungs-Version, die Sicherheitslücken stopft. Neue Funktionen werden im Zweig 1.4.x nicht mehr implementiert. Aus diesem Grund können Sie derzeit lediglich ein ISO-Abbild der Ausgabe 1.4.20 herunterladen. Diese lässt sich installieren. Danach ist ein Update auf Version 1.4.21 möglich.
Installation
Die Installation ist auf einem aktuellen Rechner in weniger als zehn Minuten getätigt. Allerdings sollten Sie die Warnung des ersten Bootscreens ernst nehmen. IPCop schnappt sich tatsächlich die komplette Festplatte und partitioniert diese neu. Das heißt im Klartext, dass alle früheren Daten auf dieser Partition verloren sind. Vielleicht ist daher eine gute Idee, die Distribution zunächst auf einem separanten Test-Rechner oder einer virtuellen Instanz ausführlich zu testen. Sollten Sie Schwierigkeiten bei der Installation haben, beachten Sie bitte die Bootoptionen.
Nach der Sprachauswahl können Sie das Installationsmedium wählen. Version 1.4.20 läßt sich entweder via CD-Laufwerk oder USB-Gerät einspielen. Sollte beides nicht vorhanden sein, besteht die Möglichkeit einer Installation mittels HTTP oder FTP. Statt einer kompletten Neuinstallation können Sie auch ein Backup einspielen. Denkbar ist dies, falls Sie IPCop auf einen anderen Rechner umziehen wollen oder nach einem Komplettausfall der Festplatte. Dabei können Sie das Backup auf einer Diskette, einem USB-Massenspeicher oder via HTTP/FTP bereitstellen. Bei einer Erstinstallation überspringen Sie diese Option logischerweise.
Netzwerkkarten-Erkennung
Als nächster Installationsschritt folgt die Netzwerkkarten-Erkennung und -Konfiguration. Solange keine exotische Ethernet-Hardware verwendet wird, erkennt IPCop die Karten automatisch. An dieser Stelle macht es Sinn, genauer auf die Schnittstellenbezeichnungen von IPCop einzugehen.
Schnittstellenbezeichnung und -bedeutung
IPCop stellt Ihnen vier Schnittstellen zur Verfügung: RED, GREEN, ORANGE und BLUE. RED regelt dabei die Verbindung nach außen. Dies kann ein Internet-Zugang per ISDN, DSL oder Modem sein oder eine Ethernet-Verbindung in ein anderes Netzwerk. Die nachfolgende Grafik erleichtert das Verständnis für die verschiedenen Interfaces.
Hinter GREEN hängt das zu schützende Netz. Diese Schnittstelle ist für eine Installation zwingend erforderlich. Haben Sie Server oder Rechner, die eine direkte Verbindung zum Internet benötigen, so hängen Sie diese an das DMZ-Interface ORANGE. Computer an ORANGE haben keinen Zugang zu den Schnittstellen GREEN oder BLUE, außer Sie konfigurieren ein so genanntes „DMZ Pinhole“. Die Schnittstelle BLUE haben die Entwickler für zusätzliche Access Points vorgesehen.
Netzwerkkarten-Konfiguration
Sind die Netzwerkkarten erkannt, müssen Sie zunächst die Schnittstelle GREEN konfigurieren, also eine IP-Adresse und eine Subnetzmaske zuweisen.
Nach diesem Schritt fordert Sie die Installationsroutine auf, Disketten und CDs aus dem Rechner zu entfernen. Mit einer Bestätigung ruft IPCop nun das Setup-Programm auf, um zusätzliche Netzwerkschnittstellen zu konfigurieren. Vorher stellen Sie allerdings noch Tastaturbelegung, Zeitzone, Host-Name und Domain-Name ein. Als Nächstes haben Sie die Möglichkeit, ISDN zu aktivieren.
Die Beispielkonfiguration verzichtet auf ISDN, dementsprechend wurde die Option deaktiviert. Danach gilt es festzulegen, welche Schnittstellen das Betriebssystem wie belegen soll. Folgendes Beispielszenario soll eine mögliche Konfiguration verdeutlichen. Der Rechner enthält zwei Netzwerkkarten. Eine davon muss Schnittstelle GREEN zugeordnet sein und erhält die IP-Adresse 192.168.0.1. Bei der Schnittstelle RED handelt es sich ebenfalls um eine Ethernet-Karte, diese erhält IP-Adresse, DNS-Server und Gateway-Einstellungen von einem externen DHCP-Server.
Das heißt, die Auswahl bei Typ der Netzwerkkonfiguration fällt auf GREEN + RED. Nun müssen Sie im Menüpunkt Treiber- und Karten-Zuordnung die verbliebene Netzwerkkarte der Schnittstelle RED zuordnen. In den Adress-Einstellungen konfigurieren Sie nun, auf welche Weise RED eine IP-Adresse beziehen soll. DNS- und Gateway-Einstellungen verwendet IPCop nur dann, wenn Interface RED keinen DHCP-Server benutzt. In unserem Beispielszenario ist dieser Menüpunkt also unbedeutend.
DHCP-Server der Schnittstelle GREEN
Soll IPCop für das geschützte Netzwerk gleichzeitig den DHCP-Server bereitstellen, konfigurieren Sie diesen in der nächsten Maske. Um Spielräume für feste IP-Adressen zu lassen, können Sie eine Start- und eine Endadresse für die dynamischen IP-Adressen festlegen. Allerdings lässt sich damit lediglich ein Adressbereich definieren.
Auch eine maximale Haltezeit oder Lease Time der dynamischen Adressen lässt sich hinterlegen. Diese Zeit legt fest, wie lange die IP-Adresse nach einer Verbindungstrennung für die Netzwerkkarte eines Clients reserviert bleiben soll. Beim Domain-Namen-Suffix stellen Sie ein, mit welchem Suffix-Namen die Rechner im Netzwerk erscheinen sollen. Hier können Sie mehr oder weniger Ihrer Fantasie freien Lauf lassen.
Festlegen der Administrations-Passwörter
Nun gilt es, Passwörter für die Benutzer root und admin festzulegen. Den Benutzer root brauchen Sie, um sich auf die Kommandozeile von IPCop einzuloggen. User admin ist der Administrator für das Webinterface, mit dem Sie die Firewall ebenfalls komplett administrieren und Änderungen in der Konfiguration vornehmen können. Ebenso müssen Sie ein „Backup“-Kennwort vergeben. Dieses verwendet das Betriebssystem, um den Backup-Schlüssel sicher zu exportieren. Modifikationen lassen sich auch direkt am IPCop-Rechner durchführen. Loggen Sie sich als root ein, tippen setup und bestätigen mit [Enter].
Bei früheren Versionen gab es teilweise Probleme beim Setzen der Passwörter und der Tabulator-Taste. Diese scheinen bereinigt zu sein. Beim Benutzen der Tab-Taste springt der Cursor nun in das nächste Feld anstatt die Taste als Teil des Passworts zu behandeln.
Das Webfrontend
Das Webinterface, mit dem Sie IPCop komfortabel per Maus administrieren, rufen Sie über Port 81 auf. Dazu können Sie jeden beliebigen Webbrowser verwenden, indem Sie
http://<IP-Adresse des IPCop-Rechners>:81
eintippen. Danach müssen Sie ein selbst signiertes Zertifikat akzeptieren, denn das Betriebssystem erlaubt administrative Tätigkeiten nur verschlüsselt. Während der Installation haben Sie ein Passwort für den Benutzer-Account admin eingegeben. Diese Daten brauchen Sie nun, wenn Sie im Webfrontend etwas ändern oder konfigurieren möchten.
Gleich auf der Startseite sehen Sie die Buttons Verbinden, Trennen und Aktualisieren. Diese Aktionen dürfte auch der Benutzer dial verwenden, sobald Sie unter System - Passwörter ein Passwort für diesen Account vergeben.
Die Funktionen im Kartei-Reiter „System“
Hinter diesem Reiter verbergen sich diverse Systemfunktionen, beispielsweise das Update-Menü, die Passwörter, die Einstellungen für den SSH-Zugriff oder Details zu Benutzeroberfläche und Datensicherung. Die nächsten Seiten beschreiben die wichtigsten Unterkategorien im Detail.
Updates
Wie bereits erwähnt, gibt es Version 1.4.21 nur als Update. Nach einer Neuinstallation der Ausgabe 1.4.20 und Zugriff zum Internet, weist Sie IPCop darauf hin, dass eine neuere Variante verfügbar ist. Netterweise müssen Sie IPCop nicht komplett neu installieren. Bei bestehenden Installationen genügt es in der Regel, eine kleine Datei herunterzuladen. Am einfachsten finden Sie den Patch, indem Sie auf den Info-Link am rechten Rand klicken.
Ist das Update erfolgreich eingespielt, zeigt Ihnen das System dies unter „Installierte Updates“ an. Es kann vorkommen, dass eine Aktualisierung der Update-Liste nicht funktioniert. Ein entsprechender Button löscht in diesem Fall den Cache des Squid-Proxy-Servers.
Passwörter
Diese Rubrik erklärt sich von selbst. Hier können Sie die Kennwörter der Benutzer admin und dial ändern. Dazu geben Sie, wie eigentlich üblich, das neue Passwort doppelt an und klicken auf Speichern.
SSH-Zugriff
Möchten Sie IPCop auch auf Konsolen-Ebene über das SSH-Protokoll fernwarten, so müssen Sie zunächst den SSH-Server aktivieren. Das Firewall-Betriebssystem würde sogar SSH in der Version 1 unterstützen, das Sie aber nur für ältere Clients benötigen. Zusätzlich können Sie einstellen, ob IPCop eine TCP-Weiterleitung zulassen soll.
Als Methoden zur Anmeldung über einen SSH-Client stehen Ihnen Passwortbasierte Authentifizierung und Authentifizierung auf Basis öffentlicher Schlüssel zur Verfügung. Sie können entweder eine der Methoden oder auch beide gleichzeitig zulassen. Im unteren Abschnitt des Browser-Fensters finden Sie die so genannten Fingerprints von IPCop. Diese benötigen Sie für die Authentifizierung auf Basis öffentlicher Schlüssel. Bitte beachten Sie, dass der SSH-Daemon auf dem nicht-Standard-Port 222 horcht.
Datensicherung
Das Firewall-Betriebssystem verfügt über eine eingebaute Datensicherung, die Ihnen mühsame Handarbeit auf der Shell-Ebene erspart. Möchten Sie ein Backup erstellen, können Sie das in dieser Maske erstellen Mittlerweilen können Sie auch entfernbare Medien zur Datensicherung einsetzen. Allerdings akzeptiert IPCop nur FAT-Dateisysteme dafür. Mit portablen Medien können Sie die Konfiguration auf ein komplett frisches System übertragen.
Unter „Datensicherungssätze“ können Sie bei Bedarf auswählen, welchen Stand des Systems Sie wiederherstellen möchten. Hier haben Sie die Möglichkeit, den derzeit ausgewählten Sicherungssatz über den Export-Link zu speichern. Mit dem Import .dat-Knopf könnten Sie Konfigurationen importieren. Während der Installation haben Sie wie schon erwähnt die Möglichkeit, solche Sicherungen einzusetzen. Damit ersparen Sie sich eine komplette Neukonfiguration des Betriebssystems.
Die Karteikarte „Status“
Hier verbergen sich verschiedene Informationen über den derzeitigen Zustand des Systems. Zum Beispiel zeigt Ihnen das Webfrontend an, welche Services überhaupt gestartet sind. Weiterhin können Sie die Einträge der Routing- und ARP-Tabelle einsehen. Netzwerk-, Speicher- und CPU-Auslastung stellt das System auch in übersichtlichen Diagrammen dar.
Es lohnt sich, diese Diagramme ab und an einzusehen. Wenn das System chronisch überlastet ist, kann der Administrator das erkennen und entsprechende Schritte einleiten. Haben Sie den WEB-Proxy-Server im Einsatz, stellt Ihnen IPCop auch hierfür umfangreiche Details und Grafiken zur Verfügung.
Unterkategorie Netzwerk
Mit diesem Bereich müssen sich diejenigen beschäftigen, die sich mit der IPCop-Box via Modem, ISDN oder DSL ins Internet einwählen möchten. Für manche DSL-Modems müssen Sie allerdings erst Treiber herunterladen und einspielen. Das Betriebssystem macht es Ihnen aber wieder sehr einfach. Die Beschreibung, um zum Beispiel die Fritz!DSL-Treiber einzuspielen, finden Sie unter „Hochladen“. Nachdem Sie den Treiber heruntergeladen haben, ist dieser mit wenigen Mausklicks ins System eingebunden.
Einwahl
IPCop erlaubt Ihnen bis zu fünf verschiedene Einwahlprofile. Die weiteren Einstellungen wie Leerlauf-Wartezeit, Wiederverbindung, Authentifizierung und DNS-Einträge sind selbsterklärend. Das Beste daran: Scheitert eine Einwahl, kann die automatische Profilwahl selbstständig ein anderes Profil als Backup ausführen.
Als Beispielszenario wäre denkbar, dass die DSL-Einwahl von Profil 1 ausfällt. Nach fünf gescheiterten Einwahlversuchen springt die ISDN-Backup-Leitung ein, die Sie zum Beispiel auf Profil 2 konfiguriert haben
Zusätzliche Dienste
IPCop stellt, wie bereits erwähnt, verschiedene zusätzliche Dienste zur Verfügung. Dazu zählen ein Webproxy, ein DHCP-Server, Dynamische DNS-Dienste, ein NTP-Zeit-Server, Traffic-Shaping und Intrusion Detection. Dieses Kapitel befasst sich mit den verschiedenen Services im Einzelnen.
Der eingebaute Proxy-Server Squid
Um den Proxy „scharf“ zu schalten, genügt es, einen Haken bei der Aktivierung zu setzen. Es steht Ihnen frei, den Proxy transparent zu halten oder nicht. Ein transparenter Proxy hat den Vorteil, dass Sie die Webbrowser nicht umkonfigurieren müssen. Firefox und Co. werden mit aktivierter Transparenz automatisch vom Proxy beliefert.
In den meisten Fällen ist die Einstellung „Transparent“ empfehlenswert. Weiterhin können Sie in dieser Maske einen vorgelagerten Proxy-Server eintragen. Zum Beispiel könnte es sein, dass IPCop noch durch einen weiteren Proxy-Server muss, der sogar eine Authentifizierung verlangt. Cache-Verwaltung und Transferbeschränkungen sind selbsterklärend. Eine Transferbeschränkung von „0“ bedeutet einfach ein unbeschränktes Traffic-Volumen.
DHCP-Server
Für den Fall, dass der DHCP-Server nicht schon bei der Installation eingerichtet wurde, können Sie das hier nachholen. Ebenso sind Änderungen am Setup in diesem Unterpunkt möglich. Zum Beispiel können Sie die IP-Range erweitern oder verkleinern, Lease-Zeiten verändern, Einträge für primären und sekundären DNS-Server und feste Zuordnungen vornehmen. Feste IP-Adressen, die der DHCP-Server ausliefern soll, werden anhand der MAC-Adresse identifiziert. Diese MAC-Adresse muss zwingend das Format aa:bb:cc:dd:ee:ff aufweisen, also mit Doppelpunkten getrennt sein. Am unteren Rand zeigt Ihnen das Webinterface die momentanen dynamischen Zuordnungen.
IPCop bietet noch eine ganze Reihe an Zusatz-Optionen für die DHCP-Server-Konfiguration. Diese sind vor allem für den erfahrenen Netzwerkadministrator von Bedeutung.
Dynamischer DNS-Dienst
Diese Option verwenden heutzutage auch die meisten DSL-Router und dürfte dem ein oder anderen bereits ein Begriff sein. Ein dynamischer DNS-Eintrag macht nichts anderes, als die von Ihrem ISP zugewiesene IP-Adresse weiterzuleiten und an einen Namen zu binden, wie zum Beispiel mein-name.dyndns.org. Spricht nun ein Rechner diese Adresse an, so leitet der Betreiber des Dynamischen DNS-Diensts die Anfrage auf die derzeit hinterlegte IP-Adresse weiter.
Entsprechend einfach fällt die Konfiguration aus: Sie holen sich einen Account bei einem Anbieter und tragen lediglich die Details in die Webmaske ein. Als Besonderheit kann IPCop eine externe IP-Adresse schätzen, selbst wenn sich die Firewall hinter einem Router befindet.
Hosts bearbeiten
Mit dieser Maske können Sie bequem die Datei /etc/hosts bearbeiten, etwa Einträge hinzufügen, ändern oder löschen. Die Hosts-Datei lässt sich beispielsweise auch sehr gut verwenden, um lästige Werbe-Einblendungen oder andere Webseiten zu sperren. Dazu tragen Sie einfach die zu blockierende Adresse mit dem Eintrag 0.0.0.0 in die Datei /etc/hosts ein. Genaueres und Links zu Block-Listen, die gepflegt werden, finden Sie in der IP-Proxy FAQ von IPCop. Allerdings zeigte die Maske keine manuellen Veränderungen der Datei /etc/hosts an.
Automatische Zeitkorrektur via NTP-Server
Den NTP-Server können Sie auf zwei verschiedene Arten verwenden. Zum einen, um nur die Uhrzeit der Firewall auf dem korrekten Stand zu halten. Zum anderen können Sie so dieselbe Uhrzeit dem gesamten Netzwerk zur Verfügung stellen. Damit könnte jeder Client die Uhrzeit von diesem NTP-Server beziehen und alle Rechner im Netzwerk wären auf eine synchrone Uhrzeit eingestellt. Die richtige Zeit kann der IPCop-Zeit-Server wiederum von einem externen NTP-Dienst ermitteln, wie zum Beispiel pool.ntp.org. Neben der manuellen Korrektur kann IPCop diese auch automatisch vornehmen.
Netzlast regulieren mit Traffic Shaping
Traffic-Shaping, oder das Regulieren des Netzwerkflusses, lässt sich im Prinzip auch in zwei Kategorien teilen. Eine Möglichkeit besteht in der generellen Beschränkung von Upload und Download. Das interessantere Feature dürfte allerdings die Priorisierung von Diensten auf Portebene sein. Dies bedeutet, dass Sie Netzverkehr den Status Hoch, Mittel oder Niedrig geben können.
Legen Sie zum Beispiel Wert darauf, dass E-Mails schnellstmöglich den Empfänger erreichen und der Internet-Surfer nur zweitrangig zum Zuge kommen soll, so priorisieren Sie den SMTP-Port 25 als Hoch und Webtraffic auf den Ports 80 und 443 als Mittel oder Niedrig. Wird in dieser Beispielkonfiguration Port 25 nicht verwendet, erhalten die Ports 80 und 443 die volle Bandbreite. Diese Einschränkungen können Sie mit jedem der verfügbaren Ports durchführen.
Einbrüche erkennen mit Snort
IPCop verfügt auch über Snort, das Quasi-Standardprogramm für Intrusion Detection. Mit dem Webfrontend können Sie bequem auswählen, für welche Netzwerkschnittstellen Sie den Schnüffler einsetzen möchten. Es macht durchaus Sinn, die interne Netzwerkschnittstelle auch zu überwachen. Studien haben ergeben, dass immer mehr Angriffe aus dem internen Netz kommen.
Ein Update des Regelsatzes machen Ihnen Snort und IPCop sehr einfach. Zunächst müssen Sie sich kostenlos auf snort.org registrieren. Danach können Sie, wie in der Konfigurationsmaske beschrieben, einen Updatecode beziehen. Diesen kopieren Sie danach in das „Oink Code“-Feld und klicken auf Neuen Regelsatz herunterladen. Das System installiert dann den neuen Regelsatz und nutzt ihn in Zukunft. Mit der kostenlosen Version können Sie alle 15 Minuten eine Datei herunterladen.
Einstellungen und Optionen der Firewall
Die Optionen der Firewall-Einstellungen beschränken sich auf insgesamt drei Bereiche: Portweiterleitung, Externer Zugang und Firewall-Optionen. Wobei sich bei den Optionen nur konfigurieren lässt, ob und mit welcher Schnittstelle das System auf einen Ping antworten soll. Mit dem so genannten Port-Forwarding können Sie Anfragen auf einem externen Port an einen anderen internen weiterleiten.
Dies macht zum Beispiel Sinn, wenn Sie mehrere interne Rechner via SSH erreichen, aber deren Default-Port für das Protokoll nicht im Betriebssystem ändern möchten. Ein Anwendungsszenario wäre, wenn der Rechner mit IP-Adresse 192.168.0.20 von außen mit Port 16022 angesprochen werden muss. Diesen Port leitet IPCop dann auf den internen Port 22 um und ermöglicht den SSH-Zugriff. Sie können den Zugang auch nur von einer bestimmten externen IP-Adresse erlauben. Möchten Sie grundsätzlich einem Port Zugang zum geschützten Netzwerk geben, so konfigurieren Sie das über die Unterkategorie Externer Zugang.
VPN und Log-Dateien
Die Daten-Welt wird immer mobiler und VPN-Zugänge sind ein wichtiger Bestandteil vieler Firmen. Mittels IPCop können Sie externen Mitarbeitern verschlüsselten Zugriff auf das Firmen-Netzwerk zur Verfügung stellen.
IPCop als VPN-Gateway
IPCop verfügt über ein VPN-Gateway. Die Weboberfläche hilft Ihnen sehr bei der Einrichtung. Dennoch ist es von großem Vorteil, wenn Sie Hintergrundwissen mitbringen. Sie sollten im Hinterkopf behalten, dass Sie damit eine Schnittstellt von außen nach innen öffnen. Wie mit so vielen Diensten gilt auch hier: Wenn Sie es nicht einsetzen, schalten Sie es nicht aktiv. Brauchen Mitarbeiter einen Zugang von außen, ist es auf jeden Fall eine recht sichere Methode.
Das Erstellen von Zertifikaten können Sie komfortabel über die Weboberfläche erstellen. Ebenso hilft IPCop bei der Auswahl des Verbindugs-Typs. Sie haben die Wahl zwischen Host-zu-Netz Virtual Private Network (RoadWarrior) oder Netz-zu-Netz Virtual Private Network. Weiterführende Informationen zu VPN finden Sie auch in IPCops FAQ.
Der Karteireiter Logs
Hier findet man genau das vor, was man erwartet. Verschiedene Log-Dateien zu den Diensten Proxy, Firewall, Intrusion Detection und System. Selbstverständlich können Sie konfigurieren, mit welchem Detailgrad IPCop diese Aufzeichnungen führt. Weiterhin stehen Ihnen zum Beispiel Einstellungsmöglichkeiten darüber zur Verfügung, wie lange das System die Log-Dateien aufbewahrt
Ausblick auf Version 2.0
In absehbarer Zeit soll es eine neue große Ausgabe des kostenlosen Firewall-Systems geben. Die aktuelle Test-Version ist 1.9.5. Gerade bei so einer essentiellen Schutzmaßnahme wie einer Firewall sollten Sie nicht-stabile Ausgaben auf gar keinen Fall in produktiven Umgebungen einsetzen. TecChannel möchte Ihnen aber einen kurzen Ausblick auf Version 2.0 geben und die wichtigsten Neuerungen erläutern. Bisher haben die IPCop-Entwickler auf Linux-Kernel 2.4.x gesetzt, Version 2.0 wird 2.6.x verwenden. Damit wollen Sie das System wesentlich kompatibler für den Einsatz auf neuer Hardware machen.
Bei der Installation haben Sie die Möglichkeit „Festplatte“ oder „Flash“ zu wählen. Die Option „Flash“ modifiziert die Installation, um die Schreibzugriffe zu minimieren. Diese Maßnahme soll die Lebensdauer des Flash-Massenspeichers verlängern. Außerdem können Sie die Option Software-RAID nutzen, um die Ausfallsicherheit zu erhöhen. Das Aussehen der Weboberfläche hat sich ebenfalls geändert und wurde komplett überarbeitet. Dieses lässt sich in Zukunft per Standard verschlüsselt (https) über Port 8443 ansprechen. Als VPN können Sie künftig zwischen IPsec oder OpenVPN wählen.
Mittel- und langfristige Ziele
Die beschriebenen Funktionen sollen eventuell nur Anfangs in die finale Versio 2.0 Einzug halten. Auf jeden Fall will man diese in IPCops Zukunft bereitstellen. Hierzu gehört zum Beispiel mittelfristig die Unterstützung für mehr als eine Netzwerk-Schnittstelle pro Farbe GREEN, BLUE oder ORANGE. Für RED ist das erst auf längere Sicht geplant. Ebenso wollen sich die Entwickler daran machen, mehr Add-ons direkt zu implementieren. Auch Updates sollen früher oder später komplett automatisch ablaufen können. Wie in diesem Artikel beschrieben, müssen Administratoren derzeit den Zwischenschritt des Herunterladens der Update-Datei in Kauf nehmen.
Als Firewall will man bald auf Shorewall inklusive QoS setzen. Weiterhin soll Version 2.0 laut Entwickler Unterstützung für WiFi erhalten. Ebenso will man langfristig modulare Paketierung mit einem stabilen und einem Test-Repository aufsetzen. Die Entwickler weisen aber auch ausdrücklich darauf hin, dass einige oder alle mittel- und langfristig geplanten Funktionen vielleicht niemals umgesetzt werden. Da Bilder bekanntlich mehr als 1000 Worte sagen, finden Sie nachfolgend eine Bildergallerie zum Thema IPCop 2.0.
Fazit
IPCop eignet sich ausgezeichnet als Mehrzwecksystem, zumal es sich auch von Linux-Laien komfortabel einrichten und administrieren lässt. Die kostenlose Verfügbarkeit fällt dabei ebenfalls positiv auf. Interessant sind auch die Add-ons zu IPCop, separat entwickelte Module, die sich in das Betriebssystem integrieren lassen. Zum Beispiel Copfilter, der Viren und Spam aus E-Mails und dem Web aussortiert. Ein Blick in die Add-on-Liste des Betriebssystems kann auf keinen Fall schaden. Installationsanleitungen gibt es auf den jeweiligen Projektseiten.
Allerdings muss sich ein Administrator, der das System in Produktivumgebungen einsetzen möchte, ein paar Dinge vor Augen halten. Sollte etwas schief gehen, ist er alleine dafür verantwortlich und kann die Entwickler von IPCop nicht vor den Kadi ziehen. Weiterhin verzeichnet das System derzeit 30 bekannte und offene Bugs. Ob der eine oder andere Bug relevant für den Einsatz der Software in bestimmten Umgebungen ist, muss der Anwender selbst entscheiden.
Auf der Projektseite finden Sie Dokumentationen und FAQs, welche die meisten Fragen abdecken. Support können Sie über Mailing-Listen oder Support-Foren für IPCop bekommen. Scheuen Sie sich nicht, Fragen an die Community zu stellen. Bekanntlich gibt es keine dummen Fragen, nur dumme Antworten. Wird die Frage nicht in den FAQs beantwortet, hilft Ihnen sicher der eine oder andere Linux-Crack aus der Patsche, solange Sie freundlich fragen. (mec)