Vorwort

Die vorliegende Dokumentation beschreibt Funktionsweise, Aufbau und Wartung eines Firewallrechners unter Linux. Sie ist als begleitendes Material für eine Schulung gedacht, nicht als Selbststudium-Hilfe. Das Thema Firewall ist ein weit gefächerter Bereich, der hier nicht abschließend behandelt werden kann, es sollen die in der Schulung und dem Aufbau vorkommenden Punkte besprochen und dargestellt werden.

Eine Firewall ist ein Sicherheitssystem, das - wie alle anderen Sicherheitssysteme auch - im Idealfall nicht genutzt werden muß, weil z.B. kein Angriff auf das Computersystem vorliegt. Wie aber bei Sicherheitssystemen üblich, nützt uns dieses System nur dann, wenn es im Bedarfsfall perfekt funktioniert. Für diese Garantie der perfekten Funktion ist aber eine Sache wesentliche Voraussetzung: Das Verständnis der zugrunde liegenden Technologie. Dieses Verständnis kann bei vielen Menschen, die mit Computern zwar zu tun haben, diese aber nicht restlos verstehen, nicht vorausgesetzt werden. Aus diesem Grund beginnt diese Beschreibung mit einem Kapitel Netzwerkgrundlagen, die für viele vielleicht übertrieben genau erscheint. Trotzdem muß - damit später die Funktionsweise der Firewall hinlänglich sicher aufgebaut werden kann - dieses Wissen vorhanden sein...

Die Beschreibung der Techniken bezieht sich hier auf ein Linux-System mit einem Kernel der Versionen 2.2.x, der mit ipchains arbeitet. In den früheren Versionen wurde statt dieser Technik ein Programm mit Namen ipfwadm eingesetzt, in der allerneuesten Kernelversion (2.4) wird eine neue Technik (iptables) verwendet. In Sicherheitstechniken sollten aber immer ausgereifte und erprobte Werkzeuge zum Einsatz kommen. Daher scheint mir ipchains die beste Lösung darzustellen. Der Umstieg auf die neue Technik ist - im wesentlichen - auch nur ein syntaktischer, die Regeln bleiben größtenteils die selben.

Diese Dokumentation kann eines nicht sein, eine Einführung in bzw. ein Lehrgang für Linux selbst. Es werden hier also weder die Installation, noch die grundlegenden Techniken des Umgangs mit Linux beschrieben. Eine Stand-alone-Firewall mit Linux bedarf allerdings auch nicht einer großen Verwaltungsarbeit, so daß ein durchschnittliches Wissen um Linux sicher ausreichend ist, um die hier beschriebenen Vorgänge nachzuvollziehen und reproduzieren zu können. Wo immer es notwendig ist, genaue Angaben zu machen, wo bzw. wie etwas in Linux einzustellen ist, wird es ausreichend beschrieben.

Da im vorliegenden Fall die Linux-Distribution der S.u.S.E GmbH eingesetzt wird (S.u.S.E 7.0 Professional), beziehe ich mich im wesentlichen auch auf die in dieser Distribution üblichen Dateien und Verzeichnisse. Im Großen und Ganzen sollten aber alle Techniken - mit kleinen Änderungen - auch in jeder anderen modernen Linux-Distribution implementierbar sein. Die Unterschiede werden sich im Wesentlichen auf verschiedene Startdateien reduzieren, in denen die entsprechenden Firewall-Regeln eingetragen werden. Diese Startdateien sind in fast jeder Distribution unterschiedlich, daher würde eine allgemeingültige Beschreibung den Rahmen dieser Dokumentation sicher sprengen.