© Scott Griessel, 123RF.com

Wer seinen Anwendern zutraut die lokale Linux-Firewall sicherheitsbewusst und verantwortungsvoll zu administrieren, der braucht ein GUI, das der Hilfssheriff bedienen kann. Infrage kommen Open-Source-Tools mit sehr unterschiedlichen Ansätzen: IPfire, Clear OS und Webmin im Vergleich.

Pragmatismus oder Sicherheit? Wohl jeder Dienstleister, der kleine und mittelständische Unternehmen betreut, kennt die Diskussionen mit dem Kunden. Nicht selten werkelt bei dem eine Linux-Firewall, und ein Mitarbeiter, der eher Windows-Power-User ist, will oder soll grundlegende administrative Arbeiten darauf übernehmen, um die Supportkosten niedrig zu halten. Dass dabei dem Sicherheitsprofi die Haare zu Berge stehen, sei mal dahingestellt.

Damit die Selbstversorgung rund um den sicheren Internetzugang, den Remote-Zugriff aufs Unternehmensnetz oder VPN-Verbindungen gelingt, bedarf es eines GUI, das die Firewall- oder Proxy-Regeln abstrahiert und sie so auch für Anwender ohne Linux-, Shell- oder IPtables-Kenntnisse nutzbar macht. Dieser Artikel stellt die Ansätze von drei Tools vor, die das auf unterschiedliche Weise versuchen: den Firewall-Spezialisten IPfire, das Small-Business-Server-Paket Clear OS und den Allrounder Webmin.

IPfire

Nachdem der ehemalige Platzhirsch unter den Linux-Firewalls, IPcop [1] in den vergangenen Jahren eher durch seltene Updates auf sich aufmerksam machte, trat bei vielen Anwendern die All-in-one-Firewall IPfire [2] an seine Stelle. Das letzte IPcop-Update stammt vom Februar 2012, eine lange Zeit für Firewall-Distributionen. IPfire weiß dagegen mit regelmäßigen, fast monatlichen Aktualisierungen und interessanten Features zu überzeugen.

Mit dem Funktionsumfang teurer proprietärer UTM-Lösungen (Unified Threat Management) kann das Open-Source-Projekt zwar nicht mithalten, aber es gibt dem Anwender simple Eingabefelder, mit denen er “schnell mal eine Webseite sperrt” (Abbildung 1) oder einem Projektpartner den Zugriff auf den lokalen FTP-Server freischaltet – und nach Abschluss wieder deaktiviert, vielleicht sogar über IPsec oder Open VPN.

Abbildung 1: URL-Filter für den eingebauten Proxy setzen – kein Problem mit IPfire.

IPfire ist schnell installiert, wer das Farbenspiel noch von IPcop kennt, versteht auch die Chromatik [3] des brennenden Pinguins ohne Probleme:

• Grün ist die sichere Zone, also das Client-LAN.
• Rot symbolisiert “Gefahr!”, also das WAN-Interface.
• Blau ist für drahtlose Netze reserviert (blau wie der Himmel).
• Orange (oder Gelb) steht für die demilitarisierte Zone (DMZ), in der IT-Strategen häufig Server platzieren, die von außen (rot) und aus dem LAN (grün) erreichbar sein sollen.

Wer sich jetzt im Betrieb laufende Verbindungen über seine Firewall anschaut, erhält von IPfire schon über die Farbe signalisiert, welche Zonen daran beteiligt sind – eine gute und sich schnell erschließende Designidee.

Abbildung 1 zeigt bereits, wie simpel das Erstellen einer eigenen White- oder Blacklist für den IPfire-Admin ist: Einfach die unerwünschte URL ins Eingabefeld einfügen, bestätigen – fertig. Der URL-Filter bringt zahlreiche weitere angenehme Funktionen mit, auch zeitabhängige Internetbeschränkungen, wie sie in Schulen oder Unternehmen Anwendung finden, sind möglich. Zwei Dialoge unter dem Reiter »Firewall« zeigen anschaulich, wie einfach auch das Management von Firewall-Regeln gelingen kann, wenn ein sinnvoll abstrahierendes GUI zum Einsatz kommt.

In Abbildung 2 kann der Anwender-Admin eine »neue regel hinzufügen« für eine »Port-Weiterleitung« auf einen internen Server, Abbildung 3 ermöglicht es, einen Port auf der Firewall selbst für Quelladressen freizuschalten. In beiden Dialogen überzeugt auch das Feld »Anmerkung« , das es dem User gestattet, einen aussagekräftigen Kommentar zu den für ihn vielleicht schwerer verständlichen Port-IP-Kombinationen einzutragen. Der erscheint dann in der Liste unten im Bild, die Optionsfelder »Aktiviert« und »Deaktiviert« schalten die neue Firewallregel schnell an oder aus.

Abbildung 2: Neue Firewall-Regeln zu erstellen erfordert ein wenig technisches Know-how. IPfire begegnet dem Problem mit anschaulichen Dialogen für die »Port-Weiterleitung« …

Abbildung 3: … und dem »Externen Zugang« auf die Firewall. Beide Eingabemasken erzeugen angepasste IPtables-Regeln, die der Anwender auch im GUI bearbeiten kann.

Clear OS

Etwas größer gefasst als die Firewallfunktionen von IPfire ist das Konzept von Clear OS. Die in weiten Teilen freie Distribution will kleinen und mittelständischen Unternehmen eine kostengünstige (vielleicht sogar kostenlose) Alternative zu Microsofts Small Business Server [4] bieten und enthält dazu einen Appstore, in dem auch andere Hersteller eigene Plugins verkaufen können. Clear OS ist getragen von der Clear Foundation [5], die “jedem Zuhause, jeder kleinen Firma sichere IT ermöglichen” will.

Dafür gibt es als Open-Source-Variante Clear OS Community oder Clear OS Professional für jene, die Active-Directory-Integration, Google-Apps-Synchronisation oder Kasperskys Malwareschutz und ähnliche Enterprise-Features brauchen. Die Preise sind gemäßigt, die Lite-Lizenz gibt es inklusive Support schon ab unter 100 Dollar, wer aber innerhalb von vier Stunden Telefonsupport will, muss knapp 900 Dollar für die Premium-Variante hinlegen, erhält dafür aber auch gleich eine stattliche Anzahl kostenpflichtiger Apps mitgeliefert.

Clear OS kann mehrere Rollen übernehmen, die der Admin bei der Installation auswählt. Als Firewall (Abbildung 4) kommt der Gateway-Modus zum Einsatz, der mit mehreren Netzwerkinterfaces arbeitet. Dann gleich noch einige der vielen freien Apps installiert – und fertig ist die simple Firewall, auf Wunsch auch mit Proxy- und VPN-Funktionen. In Abbildung 5 hat der Anwender eine typische Auswahl für den Einsatz als Internet-Access-Router ausgewählt.

Abbildung 4: Auch der Small Business Server Clear OS lässt sich als Firewall einsetzen, wenn ihn der Admin im »Gateway Mode« installiert.

Abbildung 5: Zu den beiden Firewall-Apps gesellen sich in diesem Clear-OS-Beispiel Contentfilter, Webproxy, Web Access Control sowie diverse Mail-Filter und -Module. Im Clear-OS-Appstore stehen auch kostenpflichtige Tools bereit.

Wer die Installation abgeschlossen hat, findet unter dem Menü-Eintrag »Network« diverse Eingabemasken, die sich mit dem sicheren Internetzugang beschäftigen. Von »1-to-1-NAT« über »Custom Firewall« , DMZ, die Kontrolle aus- und eingehender Verbindungen reicht das Angebot und schließt auch das Port Forwarding ein, alles in angenehmen, leicht verständlichen Dialogen.

Regeln für den Proxyserver finden sich unter dem Menü-Eintrag »Gateway | Web Access Control« . Hier kann der Anwender einfache, Zeit- oder Host-basierte Vorgaben machen, unter »Content Filter« darf er White- und Blacklisten für den Internetzugang konfigurieren (Abbildung 6). Dabei sollte er aber die Userverwaltung (für die Clear OS ein eigenes LDAP mitbringt) konfigurieren, denn so kann er den Webzugriff gleich für ganze Gruppen oder einzelne Anwender regeln.

Abbildung 6: Für Windows-Updates und Linux-Magazin Online macht der Contentfilter von Clear OS ab sofort eine Ausnahme. Für alle anderen Webseiten greifen die definierten Zugriffsbeschränkungen.

Webmin

Uralt, kompliziert und fehlerbehaftet, dieser Ruf eilt Webmin [6] gelegentlich voraus. Dennoch kann die in Perl geschriebene eierlegende Wollmilchsau der Linux-Server-Administration einiges bieten, um Verwaltungsarbeiten auch dem Shell-Unkundigen zu erlauben. Der separate Artikel dieser Titelstrecke rund um Usermin zeigt, wie Admins mit sinnvoller Benutzerverwaltung und dem Usermin-Modul Aufgaben delegieren.

Doch auch ohne Usermin kann der Webmin-Admin Arbeiten delegieren: Fast für alle Firewall-, Proxy- und VPN-Techniken gibt es passende Module, die sich teils einfach bedienen lassen, teils gehöriges Know-how voraussetzen. Erschwerend wirkt, dass nicht alle Module gleichermaßen gut gepflegt oder intuitiv zu bedienen sind. Das aktuell im Standardumfang enthaltene IPsec-Modul beispielsweise lässt sich nicht zur Zusammenarbeit mit neueren Kerneln überreden, für Open VPN existiert mit »Server | OpenVPN + CA« ein separates Werkzeug [7], das sich zwar via Webmin-GUI installieren lässt und bereits eine einfache PKI mitbringt, einen Endanwender jedoch überfordern dürfte (Abbildung 7).

Abbildung 7: Für die Administration eines eigenen Open-VPN-Servers existiert ein passendes Webmin-Modul mit Zertifikatsverwaltung. Das zu bedienen erfordert jedoch vom Anwender sehr viel Know-how.

Als ersten Schritt für den Admin, der einzelnen Anwendern die Administration einzelner Aspekte überlassen will, die – wie etwa die Firewall-Konfiguration – nicht von Usermin abgedeckt sind, empfiehlt es sich, einen dedizierten Webmin-User anzulegen und für diesen nur jene Module zu hinterlegen, die er benötigt. Nicht verwechseln: Dieser Benutzer hat nichts mit Usermin zu tun, für ihn greift die Konfiguration unter » Webmin | Webmin-Benutzer« .

Abbildung 8 zeigt das Standard-Firewallmodul »Netzwerk | Linux-Firewall« , das ein einfaches IPtables-Skript erzeugt, im Einsatz bei einem Anwender, der nur Mail-, Firewall- und Proxy-Funktionen konfigurieren darf. Positiv daran ist ganz klar, dass die Entwickler fast alle der zahlreichen IPtables-Funktionen hier integriert haben. Darunter leidet jedoch die Übersichtlichkeit, das Verwalten vieler Regeln fällt schwer.

Abbildung 8: Das Webmin-Modul für die »Linux-Firewall« überfordert den Benutzer mit seinen vielen Optionen. Details wie die TCP-Flags und -Optionen verwirren einen Desktop-User mehr, als sie helfen.

Besser löst das in den meisten Fällen die Shorewall-Firewall. Sie gehört bei Distributionen, die kein eigenes Frontend für IPtables mitbringen (wie das Suse beispielsweise mit der in Yast integrierten Susefirewall macht) zu den beliebtesten Schutzmechanismen für Linux-Admins. Während Kenner die handliche, aber doch umfassende Software schnell an der Shell in den Konfigurationsdateien unter »/etc/shorewall« verwalten, bietet sich auch hier ein ebenfalls delegierbares Webmin-Modul für den Browser-Admin an: »Netzwerk | Shorewall Firewall« beziehungsweise für IPv6 »Netzwerk | Shorewall6 Firewall« (Abbildung 9). Zwar hat hier der Anwender die Wahl aus 15 Untermodulen, doch eine neue Regel fügt er in einem minimalistischen Frontend hinzu, das sich aufs Wesentliche beschränkt (Ports, IPs, Aktionen).

Abbildung 9: Viele Module der Shorewall-Konfiguration unter Webmin führen (meist) zu übersichtlicheren Eingabemasken, auch VPN-Tunnel lassen sich damit administrieren.

Proxys, VPNs und mehr

Für den, der sich mit den technisch anspruchsvollen Modulen arrangieren kann oder im Notfall ein eigenes, abgespecktes Webmin-Modul schreibt, hat das Browser-Administrationstool viel zu bieten. Den Proxy verwaltet ein umfangreiches Squid-Modul, das allerdings keinen einfachen Weg bietet, Black- und Whitelisten zu definieren. Neben IPsec (mit den oben erwähnten Einschränkungen) und Open VPN kann er auch SSL und PPTP-Tunnel definieren oder fast alles rund ums Betriebssystem, die Hardware und Serverdienste einstellen. Und weil der Admin all das schon über die Webmin-User delegieren kann, vermag er so eine einfache Rollenverteilung aufzubauen.

Fazit

Wer als Dienstleister einem KMU den Internetzugang absichern soll und dabei die Weisung erhält, der Kunde wolle sich selbst im Alltag um deren Administration kümmern, hat mit Webmin, IPfire und Clear OS drei mächtige Tools zur Auswahl. Alle drei sollten die Aufgabe zuverlässig erfüllen und bieten dem Support die Möglichkeit, etwaige Fehler der User-Admins auch per Remote-Zugriff zu korrigieren.

IPfire besticht durch die Einfachheit der Bedienung und zügige Updatezyklen. Gute Usability kombiniert Clear OS noch mit kostenpflichtigem Support inklusive garantierter Reaktionszeiten. Dass Anwender darüber hinaus Applikationen und Module per Klick online hinzukaufen können, macht Clear OS zu einer sehr interessanten Alternative. Und wer keine Angst vor umfangreichen Konfigurationsdialogen hat oder glaubt, seine Kunden-Admins damit nicht zu überfordern, der ist sicher bei Webmin richtig.

Egal wie er sich entscheidet: Einem unerfahrenen Anwender die Administration von Firewall, Proxy oder VPN zu übertragen gleicht immer ein wenig einem Spiel mit dem Feuer.