Er ist kleiner als ein Feuerzeug, trotzdem verwandelt der Firestick jeden PC in eine Firewall. Der Rechner benötigt zwei Netzwerkkarten und muss vom USB-Stick booten, CD-ROM und Festplatte sind überflüssig. Der Praxistest zeigt Stärken und Schwächen dieser Neuentwicklung.
Linux-Firewalls gibt es zwar schon viele, aber die Software auf einen USB-Stick zu packen ist eine neue Idee. Der Hersteller Databay hat sein Java-Konfigurations-Frontend gleich mit auf dem Firestick[1] abgelegt. Damit trägt das nur daumengroße Gerät die gesamte benötigte Software. Der Stick arbeitet in zwei Modi: Während der Konfiguration steckt er im Rechner des Admin und lässt sich per Java-Programm beschreiben. Im Betrieb am Firewallrechner ist der Schreibschutz aktiviert.
| Firestick |
|---|
|
Kategorie: Linux-basierte Firewallsoftware auf USB-1.1-Stick, optional mit VPN-Funktion Hardware: USB-Stick, 64 MByte, schaltbarer Schreibschutz Konfiguration: Per Java-GUI auf einem Admin-PC; die Software und die Konfigurationsdateien liegen auf dem Firestick Preis: Grundpreis 700 Euro, mit VPN-Option 1400 Euro; Vertrieb nur über Reseller |
Ein optional erhältliches VPN-Modul ergänzt den Funktionsumfang um IPsec-Tunnel. Das Firewallregelwerk einrichten und einen Tunnel konfigurieren gelingt dank der grafischen Oberfläche auch mit Linux nicht vertrauten Anwendern, auf die Kommandozeile müssen sie nicht zurückgreifen.
Im GUI enthalten sind zudem Funktionen wie Update, Verwaltung verschiedener Konfigurationen, Backup und Restore. Da das GUI in Java programmiert ist, darf der Administrationsrechner mit einem beliebigen Betriebssystem laufen. Laut Hersteller ist als Voraussetzung nur ein aktuelles Sun-JRE (Java Runtime Environment) ab Version 1.4.1 nötig. Im Test lief die Software aber auch mit der Blackdown-Software.
Als Firewallrechner ist ein handelsüblicher x86-Rechner ausreichend. Er benötigt mindestens 128 MByte Speicher, zwei Netzwerkkarten und eine USB-1.1-Schnittstelle. Wer die erweiterten Fähigkeiten des Firestick - etwa die Proxy-Dienste - einsetzen will, sollte jedoch am Speicher nicht sparen. Selbst 256 MByte RAM sind nur für sehr wenige Nutzer ausreichend, da der Proxy sämtliche Daten im Speicher vorhalten muss. Zum Ausgleich darf der angehende Firewallbesitzer an den Laufwerken sparen: CD-ROM oder Festplatten sind unnötig.
Einfach einen ausgemusterten Computer zur Firestick-Firewall erklären ist aber nicht so einfach möglich: Der Rechner muss von der USB-Schnittstelle booten, das können nur neuere Modelle. Auch bei einer Neuanschaffung ist Vorsicht geboten, da manche aktuellen Rechner diese Option im Bios nicht vorsehen. Zu den Vorteilen siehe Kasten "Warum USB-Stick".
| Warum USB-Stick |
|---|
| Im Gegensatz zu bekannten Lösungen, die von Diskette oder CD booten oder auf der Festplatte installiert sind, arbeitet der Firestick als bootfähiger USB-Stick. Diese Technik bringt einige Vorteile mit sich:
Hat der Admin den sichersten Weg gewählt und den USB-Stick nach dem Booten entfernt, müsste er nach einem Ausfall vor Ort den Stick erneut anstöpseln. Ein Reboot aus der Ferne per Powerswitch gelingt nur, wenn der Firestick im Gerät stecken bleibt. Ein Teil der zusätzlichen Sicherheit löst sich damit aber in Wohlgefallen auf. Als besonders praktisch erweist sich das Gerät, wenn die Firewall-Hardware den Anforderungen nicht mehr gerecht wird. Es genügt, einen neuen Rechner vorzubereiten und den altgedienten durch einfaches Umstecken zu ersetzen. |
Eine Firewall muss möglichst störungsfrei laufen, meist 24 Stunden täglich. Bei der Auswahl der Teile ist diese Dauerbelastung zu berücksichtigen. Wer auch für Ausfälle gewappnet sein muss, sollte sich gleich einen Ersatzrechner zulegen. Die zweite Maschine kann er dann mit Hilfe des Konfigurationswerkzeugs als Backup vorbereiten und muss ihn im Fall der Fälle dann nur noch mit dem Firestick booten.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
