Firewall-Regelwerk mit GUI-Unterstützung erstellen
Einfach geregelt
von Joerg Fritsch und Vadim Kurland
Erschienen im Linux-Magazin
2001/06
Mit GUI-Unterstützung wird das Zusammenstellen eines Firewall-Regelwerks übersichtlicher, einfacher und damit weniger fehleranfällig. Mit Hilfe des freien Firewall Builders zeigen wir hier beispielhaft die Konfiguration einer kleinen Firmen-Firewall.
Eine Firewall muss nicht nur den Datenverkehr filtern, sie muss sich auch selbst vor Angriffen schützen. Das geht umso besser, je weniger unnötige Software auf ihr installiert ist. Eine grafische Oberfläche direkt auf der Firewall fällt also aus, "back to the roots" ist angesagt: die Firewall wird an der Kommandozeile oder per Datei konfiguriert. Das hindert uns aber nicht daran, das Regelwerk mit einem GUI zu erstellen - solange das GUI nicht auf der Firewall selbst läuft. Es müssen dann nur noch die erzeugten Regeln auf die eigentliche Firewall übertragen werden.
Handarbeit
Linux bringt mit den Iptables bereits eine mächtige Firewall mit, genauer gesagt einen "stateful packet filter". Dieser Filter wird zunächst an der Kommandozeile konfiguriert. Die folgende Regel sorgt zum Beispiel dafür, dass ICMP-Pakete vom Loopback-Interface 127.0.0.1 verworfen werden ( DROP). Der Absender wird keine Antwort erhalten, auch keine negative. Versucht man mit ping 127.0.0.1 eine Antwort vom Loopback-Interface zu erhalten, wird die Antwort (ein ICMP-Typ-0-Paket, also echo reply) verworfen:
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
Deutlich komplizierter fiele das Beispiel bereits aus, wenn nur jene ICMP-Pakete verworfen werden, die durch die Firewall laufen und von bestimmten Sendern kommend an bestimmte Empfänger gerichtet sind. Produktive Firewalls bestehen aber aus einer Vielzahl noch komplexerer Anforderungen.
Firewall Builder
|
|
Das Firewall-Builder-GUI ist eine Gnome-Applikation, die in C++ mit Gtk-- entwickelt wurde. Die Policy Compiler sind in C geschrieben und benötigen lediglich die libxml . Die Software steht unter der GPL; für Red Hat 6.2 und 7.0 stehen RPMs auf [2] zur Verfügung. Das Projekt wurde im Frühling 2000 begonnen, die erste Beta war im Januar 2001 verfügbar. Die Projekt-Homepage ist unter [1] zu finden, die Autoren sind Vadim Kurland und Vadim Zaliva.
|
Werkzeuge: GUI und Compiler
So praktisch die Kommandozeile in vielen Fällen ist, manchmal wünscht man sich doch die Unterstützung eines grafischen Werkzeugs. Die Konfiguration einer Firewall ähnelt ja fast schon der Software-Entwicklung: Warum sollte der geplagte Admin dann nicht auch über ähnliche Hilfsmittel verfügen? Nicht als Ersatz für die Kommandozeile, sondern als Hilfe beim Schreiben der Regeln.
|
Abbildung 1: Aufbau des Beispiel-Netzwerks mit einem Mailserver im inneren Netz und einem reinen Mailrelay in der DMZ.
|
Praktisch alle kommerziellen Firewalls arbeiten in irgendeiner Form mit GUIs zur Konfiguration des Regelwerks (Rulebase). Das GUI der Checkpoint-Firewall-1 etwa ist dem hier verwendeten Firewall Builder ähnlich. Seit einiger Zeit sind die Filter der Checkpoint-Firewall-1 zwar auch unter Red Hat Linux 6.1 erhältlich, aber die Oberfläche ist vorerst nur für Windows und einige kommerzielle Unix-Systeme verfügbar.
Ähnlich dem Firewall-1-GUI ist der Firewall Builder unabhängig von der eigentlichen Firewall. Er besteht aus dem GUI und einem austauschbaren Compiler, der das grafisch erstellte Regelwerk in Textform übersetzt (kompiliert). Welche Firewall damit konfiguriert wird, hängt vom eingesetzten Compiler ab: Aktuell stehen Compiler für Iptables, Ipchains und Ipfilter zur Verfügung. Es werden direkt die Konfigurationsanweisungen für die Ziel-Firewall erzeugt, die nur noch dorthin übertragen werden müssen (etwa mit ssh).
Durch den objektorientierten Ansatz des Firewall Builders kann eine Regel im GUI viele einzelne Iptables-Regeln erzeugen. Darum braucht man sich aber nicht zu kümmern, denn der Compiler erzeugt das entsprechende Material. Die Ausgaben des Compilers sind direkt Iptables-Befehle, die man durchaus noch verstehen und auch überprüfen kann.
| Whitepaper |
|---|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele
Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
