IPCop

IPCop
	; IPCop-Logo
Entwickler	IPCop-Team
Lizenz(en)	GPL
Erstveröff.	2001
Akt. Version	1.4.9 (4. Oktober 2005)
Abstammung	\ Smoothwall; \ IPCop
Sonstiges	Preis: kostenlos; Sprache: mehrsprachig
	www.ipcop.org

IPCop ist eine freie Linux-Distribution, die in erster Linie als Router und Firewall fungiert.

Darüber hinaus bietet die Distribution noch ausgewählte Server-Dienste an. Sie basiert auf der freien GPL-Version von Smoothwall und kann um zusätzliche Funktionen erweitert werden.

Informationen

Server-Dienste

Der IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxy-Server (Squid), einen DHCP-Server, einen Caching-Nameserver (BIND) sowie ein Intrusion Detection System (Snort) bereit. Weitere Funktionen wie Traffic Shaping, VPN und Dynamic DNS sind vorhanden.

Systemvoraussetzungen

Die benötigte Rechenleistung des PCs richtet sich nach dem Einsatzbereich. Es reichen allerdings schon 133 MHz mit 32 MByte Ram (besser 64 MByte) aus. Es werden mindestens 2 Netzwerkkarten benötigt (PCI, ISA oder VL - Bus), eine für den Anschluss von DSL (oder anderen Router), eine zum Anschluss ans LAN.

Die Rechenleistung bei privaten Gebrauch kann auch schon ein alter 486er übernehmen wenn man Squid und die IDS abschaltet.

Schnittstellen

IPCop unterscheidet zwischen verschieden farbigen Netzwerken. Das grüne Netzwerk stellt das eigene LAN dar, das rote Netzwerk symbolisiert das "ungeschützte" Internet. Ein eventuell vorhandenes WLAN-Netzwerk wird durch die Farbe blau symbolisiert, während orange die "DMZ" (Demilitarized Zone) darstellt. Diese wird für Server verwendet, die aus dem Internet erreichbar sein sollen (Webserver, FTP-Server, etc.). Würde nun dieses Netzwerk erfolgreich angegriffen (kompromittiert), sind die anderen Netzwerke davon unabhängig geschützt.

Für jedes Netzwerk, das verwendet wird, wird eine eigene Netzwerkkarte mit IP-Adresse benötigt. Es ist nicht erforderlich, jedes Netzwerk zu verwenden. Ist kein WLAN vorhanden, existiert einfach kein blaues Netzwerk. Ist kein Webserver (o. ä.) vorhanden, wird keine DMZ, also kein oranges Netzwerk benötigt.

Webinterface

Konfiguriert wird der IPCop über ein Webinterface, zu erreichen über http://SERVERNAME:81 oder über SSL auf https://SERVERNAME:445. Alternativ zum Servernamen natürlich auch über dessen IP-Adresse.

Über dieses Webinterface werden dann Dinge wie Port-Weiterleitung, öffnen von Ports ("Externer Zugang"), Proxy- und DHCP-Server, aber auch DDNS (Dynamisches DNS), Traffic Shaping, IDS und Zeitserver (NTP) konfiguriert. Des Weiteren erhält man über das Webinterface Zugriff auf die verschiedenen LOG-Dateien und deren Auswertungen, die als Grafiken bereitgestellt werden.

Auf die Shell kann der geneigte Benutzer (und Linux-Kenner) natürlich auch zugreifen um tiefergehende Konfigurationen zu erstellen bzw. zu ändern. Dies ist aber nur selten nötig. Der Zugriff erfolgt hierbei dann per SSH auf Port 222.

Über Add-Ons lassen sich die Möglichkeiten dann zusätzlich erweitern. Als Beispiel seien hier ein "URL-Filter", der beliebte Dateimanager "mc" (Midnight Commander), der Editor "Joe" oder auch ein "Advanced Proxy" genannt.

IPCop in virtueller Maschine / User Mode Linux

Die Zeitschrift c't aus dem Heise-Verlag hat im Rahmen eines Server-Projekts den "c't-Debian-Server" vorgestellt, in dem IPCop in User Mode Linux (UML), einer virtuellen Maschine unter Linux, läuft. Dies bringt aus Sicherheitsgesichtspunkten einige Vorteile, was allerdings auch sehr umstritten ist und durchaus Nachteile in der Sicherheit bringen kann. (Siehe Erklärung)

Versionen

Version	Datum
0.0.9	28. Dezember 2001
0.1.0	03. Januar 2002
0.1.1	22. Januar 2002
1.2.0	27. Dezember 2002
1.3.0	22. April 2003
1.4.0	01. Oktober 2004
1.4.1	21. November 2004
1.4.2	16. Dezember 2004
1.4.4	15. März 2005
1.4.5	30. März 2005
1.4.6	11. Mai 2005
1.4.8	26. August 2005
1.4.9	04. Oktober 2005

Installation

Ein fertiges ISO-Image für eine Boot-CD ist auf der Homepage erhältlich. Sollte man kein CD-ROM in seinem PC haben, kann man auch mit Boot-Diskette starten und die restlichen Daten über HTTP/FTP-Server herunterladen.

Die Installation gestaltet sich auch für Linux-Laien als sehr einfach, da sie sich weitestgehend selbständig installiert und von Anfang an eine sichere Grundkonfiguration bietet.

Prinzip: Vom eigenen Netzwerk zum Internet ist alles offen, vom Internet ins eigene Netzwerk ist alles geschlossen.

Grundsätzliches Know-How in Sachen "Netzwerk" und "Protokolle" ist beim Benutzer dennoch nötig.

Installations-Anleitung

Achtung: Alle Daten auf der Festplatte werden bei der Installation gelöscht!

1. Laden Sie das ISO-Image von der Homepage herunter und brennen Sie es auf eine CD.

Falls Ihr PC von CD booten nicht unterstützt, können Sie auch eine Boot-Diskette erstellen.
- In der IPCop Datei befindet sich im Verzeichnis "\Images\dosutils" eine ausführbare Datei mit dem Namen "rawwritewin.exe".
- Starten Sie die Datei, stellen Sie Ihr Disketten-Laufwerk ein (meistens A:), wählen Sie als "Image File" die Datei "\images\boot-1.4.8.img" und drücken Sie auf "Write" um die Boot-Diskette zu erstellen.

2. Legen Sie die CD/Diskette in den Computer, auf dem die Distribution installiert werden soll, ein, und starten Sie ihn.

Nun startet die Installation, sofern Sie die richtige Boot-Reihenfolge im BIOS festgelegt haben.
- Sollte die CD/Diskette nicht starten, sehen Sie bitte im Handbuch Ihres BIOS unter "Boot-Reihenfolge" nach.

3. Wählen Sie als Sprache Deutsch und als Installationsmedium CD-ROM.

Sollten Sie kein CD-ROM-Laufwerk in Ihrem PC haben, können Sie die restlichen Daten für die Installation auch über einen HTTP/FTP-Server herunterladen lassen, indem Sie dort die Datei "ipcop.tgz" vom ISO-Image bereitstellen.

4. Nun wird die Festplatte formatiert und die für IPCop benötigten Daten darauf geschrieben.

Die Möglichkeit, eine vorhandene Konfiguration einzuspielen, ist später nützlich, jetzt können Sie sie aber getrost überspringen.
Die Netzwerkkonfiguration ist jetzt wichtig, denn die spätere Konfiguration findet per Webinterface statt (per Webbrowser).
Jetzt sollten Sie auf "Automatische Erkennung" drücken, denn damit werden die gängigen Netzwerkkarten (auch NoName) erkannt.
Falls Ihre Netzwerkkarte nicht erkannt wurde, sollten Sie sich z. B. in Foren (siehe Weblinks) informieren.

Konfiguration vom Netzwerk

1. Nun muss man die IP-Adresse der Firewall eingeben.

Diese Adresse ist der Dreh- und Angelpunkt im LAN, denn sie wird überall verwendet (Gateway, Router, DNS-Server und Proxy-Server).
Die Standard-Adresse für ein Netzwerk ist 192.168.1.254. Mit diesem IP-Adressen-Pool können 254 Clients versorgt werden.

2. Tragen Sie diese Adresse jetzt bei IP-Adresse ein.

Die Netzwerkmaske belassen Sie einfach so.

3. Als Tastaturtreiber wählen Sie "de-latin1-nodeadkey" und als Zeitzone "CET".

4. Die nächsten Vorschläge übernehmen Sie einfach, sofern Sie keinen internen Nameserver verwenden.

5. Nun muss man sich entscheiden, ob man ISDN als "rote" Schnittstelle verwenden will.

Wenn Sie DSL oder ein Netzwerk nutzen, klicken Sie auf ISDN deaktivieren. Wenn Sie ISDN nutzen, müssen Sie dieses jetzt konfigurieren.

5.1 Dazu müssen Sie ISDN-Karte wählen und dann "Automatische Erkennung" drücken.

Wird Ihre Karte nicht erkannt, sollten Sie sich in Support-Foren informieren.

5.2 Wenn Ihre ISDN-Karte erkannt wurde, müssen Sie unter "Lokale Telefonnummer (MSN/EAZ)" MSN für die ISDN-Karte eingeben und das Protokoll "DSS1/Euro-ISDN" wählen. Jetzt nur noch "ISDN aktivieren" auswählen und somit haben Sie die Grundlage für eine Verbindung ins Internet geschaffen.

Konfiguration der Schnittstellen

1. Nun müssen Sie nur noch den Schnittstellen die richtigen Netzwerkkarten zuteilen.

Dazu wählen Sie einfach "OK", um die bislang noch nicht zugewiesenen Netzwerkkarten einer Schnittstelle zuzuweisen.
Wenn Sie DSL nutzen müssen Sie jetzt unter "Adress-Einstellungen" die rote Schnittstelle auf "PPPoE" umstellen. Die IP-Adresse und alles andere muss unverändert bleiben.
Mit "Fertig" übernehmen Sie alle bisherigen Änderungen.

2. Nun können Sie noch den sehr praktischen DHCP-Server aktivieren.

Dieser konfiguriert alle Computer im Netzwerk automatisch mit den Netzwerkdaten.
Aktivieren Sie den DHCP-Server und tragen Sie z. B. als Startadresse "192.168.1.10" und als Endadresse "192.168.1.99" ein.

3. Damit wäre die Konfiguration eigentlich abgeschlossen.

Jetzt müssen Sie nur noch Passwörter eingeben, eines für "root" und eines für "admin".
Bitte verwenden Sie sichere Passwörter!

Konfiguration der Einwahldaten

1. Nun steht Ihre Firewall. Sie muss nur noch mit dem Internet verbunden werden. Das können Sie mit dem Webinterface von IPCop machen.

Öffnen Sie Ihren Webbrowser und geben Sie "https://192.168.1.254:445" ein. Bestätigen Sie alle Fenster.

2. Jetzt sind Sie im Webinterface von IPCop.

Klicken Sie jetzt auf Netzwerk/Einwahl. Sie werden aufgefordert Ihren Benutzername und Ihr Passwort einzugeben.
Ihr Benutzername ist "admin" und das von Ihnen gewählte Passwort.

3. Geben Sie jetzt die Daten ein, welche Sie von Ihrem Provider bekommen haben.

Als Profilname geben Sie einen beliebigen Namen ein und klicken auf "Speichern".

4. Wechseln Sie zu "System/Startseite" und klicken Sie auf "Verbinden".

Fazit

IPCop zeichnet sich durch einen großen Funktionsumfang aus (z. B. DMZ, DynDNS, Intrusion Detection System zur Erkennung von Einbruchversuchen, Proxy-Server und ein Assistent für VPNs) und durch die einfache Installation und Bedienung aus.

Wenn Ihr also einen alten Computer übrig habt, installiert darauf IPCop. Es ist wirklich nur zu empfehlen und um einiges besser als eine Desktop-Firewall!

Weblinks

IPCop

IPCop-Logo
Entwickler	IPCop-Team
Lizenz(en)	GPL
Erstveröff.	2001
Akt. Version	1.4.9 (4. Oktober 2005)
Abstammung	\ Smoothwall \ IPCop
Sonstiges	Preis: kostenlos Sprache: mehrsprachig
www.ipcop.org