Microliss: Firewall-Appliance im kleinen Gehäuse

Wer eine platzsparende Firewall sucht, bei der sich der Administrator nicht um die Hardware kümmern muss, sollte die Microliss[1] der Firma Telco-Tech näher betrachten: Nach dem Auspacken reibt man sich verwundert die Augen und fragt sich, ob man einen Switch gekauft hat. Die kleine Firewall kommt ohne Lüfter und Festplatte aus, sie kann daher praktisch überall stehen.

Mit ihren drei Netzwerk-Interfaces eignet sich die Microliss sowohl als einfacher Zugangsrouter als auch für komplexere Setups mit einer DMZ (demilitarisierten Zone). Neben dem Netzteil liegen auch ein Nullmodemkabel, eine Diskette mit einem Terminalprogramm und eine Bedienungsanleitung bei.

Der erste Kontakt

Die Netzwerk-Schnittstellen sind bereits vorkonfiguriert: »eth0« mit 192.168.1.1, »eth1« mit 192.168.2.1 und »eth2« mit 192.168.3.1, jeweils mit der Netzmaske 255.255.255.0. Falls diese Einstellungen überhaupt nicht passen, können sie über das serielle Interface und das mitgelieferte Nullmodemkabel verändert werden. Die beiliegende Diskette enthält das Windows-Programm Hyperterminal in einer Evaluierungsversion und zwei Konfigurationsdateien zur Ansteuerung des Geräts über COM1 (»ttyS0«) oder COM2 (»ttyS1«).

Leider kam nach der Beschreibung im Handbuch keine Verbindung mit dem Hyperterminal zustande, für andere Terminalprogramme fehlen die Informationen zu den nötigen Parametern - schließlich arbeitet nicht jeder Admin mit einem Windows-PC. Mit folgenden Einstellungen kann »minicom« unter Linux die Microliss dennoch kontaktieren: Terminalemulation ANSI, 19200 Baud, acht Datenbits, keine Parität, ein Stoppbit, Hardware-Flusskontrolle aktiviert und Software-Flusskontrolle deaktiviert. Wichtig ist, dass die Initialisierungs- und Reset-Sequenzen für Modems gelöscht werden. Mit diesen Einstellungen reicht ein Drücken der [Enter]-Taste zum Aufbau der Verbindung.

Nach dem Login auf der seriellen Konsole mit der Standard-Benutzerkennung »config« und dem Passwort »config« kann man die IP-Adresse und die Netzmaske verändern. Da sich das Passwort für die serielle Konsole nicht verändern lässt, sollte der serielle Port nicht jedem zugänglich sein. Ein Terminal-Server könnte hier also durchaus zu einem Problem werden.

Nun ist der Webserver der Microliss von allen Netzwerk-Schnittstellen aus über »https:// IP-Adresse« erreichbar. Bevor er die Verbindung herstellt, muss sich der Administrator mit einer kleinen Besonderheit auseinander setzen: Grundsätzlich sind die Partitionen mit den Konfigurationsdateien nur zum Lesen gemountet (read-only). Um überhaupt etwas zu verändern, muss er vor dem Login einen kleiner Metallstift aus der Buchse ziehen und in die zweite Buchse für »read-write«-Zugriff stecken. Erst jetzt kann er die Firewall konfigurieren.

Schreibschutz eingebaut

Nach dem Umkonfigurieren und dem Speichern muss der Admin den Stift wieder in die ursprüngliche Buchse stecken. Vergisst er das, tritt eine interessante Erweiterung in Kraft: Nach zwei Stunden schaltet die Firewall automatisch wieder zurück in den Read-only-Modus, obwohl der Stift noch in der Schreib-Buchse steckt. Während der zwei Stunden läuft ein zweiter Counter: Wenn innerhalb von 30 Minuten keine Daten geschrieben werden, deaktiviert die Firewall das Routing. Sie aktiviert es automatisch wieder, wenn ein Schreibvorgang stattgefunden hat. Es gibt noch einen dritten Zähler: Innerhalb von 15 Minuten sollte der Admin auf die Microliss zugreifen, sonst muss er sich neu einloggen.

Nach dem ersten Login mit dem Superuser-Account »liss« und Standard-Passwort »start« muss das Passwort verändert werden, sonst lässt die Web-Oberfläche alle anderen Konfigurationsmasken im Read-only-Modus. Sehr gut ist die Gütekontrolle für das Passwort, sie verhindert zu einfache Passwörter.

Das SSL-Zertifikat für die HTTPS-Verbindung stammt aus dem Hause Telco-Tech, es ist auch mit einer firmeneigenen Signatur versehen. Als Krypto-Algorithmus kommt das nicht allzu starke RC4 mit 128 Bit zum Einsatz.