IPCop

IPCop ist eine freie Linux-Distribution, die in erster Linie als Linux-basierter Router funktioniert und zusätzlich Firewall-Funktionen erfüllt, darüber hinaus noch ausgewählte Server-Dienste bietet. Sie basiert auf der freien (GPL-) Version von Smoothwall und kann um zusätzliche Funktionen erweitert werden. Aktuell ist die Version 1.4.6 (Stand: Mai 2005)

Entwickelt und bereitgestellt wird sie über das gemeinschaftliche Software-Entwicklungsmanagementsystem SourceForge. IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxy-Server, einen DHCP-Server, einen Caching Nameserver (Bind9) sowie ein IDS (Intrusion Detection System) bereit. Weitere Funktionen wie Traffic Shaping, VPN und Dynamic DNS komplettieren die Möglichkeiten. Ein fertiges ISO-Image für eine Boot-CD ist auf http://www.ipcop.org/ zum kostenlosen Download erhältlich. Die Installation gestaltet sich auch für Linux-Laien als sehr einfach, weil sie sich weitestgehend selbsttätig installiert und von Anfang an eine sichere Grundkonfiguration bietet - nach dem Prinzip: Vom eigenen Netzwerk zum Internet ist alles offen, vom Internet ins eigene Netzwerk ist alles dicht. Grundsätzliches Know-How in Sachen "Netzwerk" und "Protokolle" ist beim Benutzer aber vonnöten.

IPCop - Das ist eine unter GNU-Lizenz veröffentlichte, softwarebasierende und vor allem kostenlose Firewall. Sie zeichnet sich durch ihre hervorragende Schutzmaßnahmen (genaue Erklärungen später im Text) und leichte Installation aus. Auch besitzt sie viele Erweiterungsmöglichkeiten und ein Webinterface. Nicht zu vergessen ist die Möglichkeit eine DMZ für einen Webserver einzurichten. Auf http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopScreenshots können Sie sich Screenshots von IPCop anschauen.

Die CPU sollte mindestens 133 MHz haben. Ein Laufwerk muss zur Installation von IPCop vorhanden sein. 32 MByte reichen aus, 64 MByte sind besser geeignet. Es werden mindestens 2 Netzwerkkarten benötigt (PCI oder ISA-/VL-Bus), eine für den Anschluss von DSL, eine zum Anschluss ans LAN

Sie können die Firewall von http://prdownloads.sourceforge.net/ipcop/ipcop-1.4.2.iso?download downloaden. Die Dateigröße beträgt 41MB. Wenn Sie die Datei heruntergeladen haben, brennen Sie sie als Image z.B. mit Nero auf CD. So, das wäre geschafft.

Legen sie die gebrannte CD in den Computer, auf dem die Firewall installiert werden soll ein, und starten Sie ihn. Jetzt startet die Installation, sofern Sie die richtige Boot-Reihenfolge im Bootmenü festgelegt haben. Zuerst muss ihr PC per CD-Laufwerk booten. Falls ihr PC von CD booten nicht unterstützt können Sie auch eine Startdiskette erstellen. In der IPCop Datei befindet sich im Verzeichnis \Images\dosutils eine exe.-Datei namens rawwritewin. Starten Sie die Datei, stellen Sie ihr Disketten-Laufwerk ein (meistens A:\) und wählen Sie als "Image File" die Datei " \images\boot-1.4.0.img". Jetzt nur noch auf "Write" klicken und die Diskette wird geschrieben. Schließen Sie nun ihr DSL- oder ihr ISDN-Modem und ihr Netzwerkkabel an den PC an. Jetzt können wir die Installation starten. Sie werden noch einmal darauf hingewiesen, dass alle auf dem PC vorhandenen Daten gelöscht werden.

Wählen Sie als Sprache Deutsch und als Installationsmedium CDROM. Jetzt wird die Festplatte formatiert und die für IPCop benötigten Daten darauf geschrieben. Die Möglichkeit, eine vorhandene Konfiguration einzuspielen, ist später nützlich, jetzt können Sie sie aber getrost überspringen. Die Netzwerkkonfiguration ist jetzt wichtig, denn die spätere Konfiguration findet per Webinterface statt (per Webbrowser). Jetzt sollten Sie auf Automatische Erkennung klicken, denn damit werden die gängigen Netzwerkkarten (auch NoName) . Falls Ihre Netzwerkkarte nicht erkannt wurde, sollten Sie sich eine neue kaufen, denn die Installation der Treiber wäre viel zu kompliziert. So, das wäre geschafft. Der schwierigste Teil liegt aber noch vor uns.

Jetzt muss man die IP-Adresse der Firewall eingeben. Diese Adresse ist der Dreh- und Angelpunkt im LAN, denn sie wird überall verwendet (Gateway, Router, DNS-Server und Proxyserver). Die Standard-Adresse für ein Netzwerk ist 192.168.1.254. Mit diesem IP-Adressen Pool können 254 Clients versorgt werden. Tragen Sie diese Adresse jetzt bei IP-Adresse ein. Die Netzwerkmaske belassen Sie einfach so. Als Tastaturtreiber wählen Sie "de-latin1-nodeadkey" und als Zeitzone "CET". Die nächsten Voschläge übernehmen Sie einfach, sofern Sie keinen internen Nameserver verwenden. Jetzt muss man sich entscheiden, ob man ISDN oder DSL verwendet. Wenn Sie DSL nutzen, klicken Sie auf ISDN deaktivieren. Wenn Sie ISDN nutzen, müssen Sie dieses jetzt konfigurieren. Dazu müssen Sie ISDN-Karte wählen und dann Automatische Erkennung. Wird ihre Netzwerkkarte nicht erkannt, besteht keine Möglichkeit, passende Treiber zu installieren. Vielleicht bekommen Sie sie mit der manuellen Auswahl zum Laufen. Wenn Ihre ISDN-Karte erkannt wurde, müssen Sie unter "Lokale Telefonnummer (MSN/EAZ) " MSN für die ISDN-Karte eingeben und wählen das Protokoll "DSS1/Euro-ISDN". Jetzt nur noch "ISDN aktivieren" auswählen und somit haben Sie die Grundlage für eine Verbindung ins Internet geschaffen.

So, jetzt müssen Sie sich entscheiden, welche Schnittstellen Sie für Ihre Firewall brauchen. Klingt kompliziert, ist aber ganz einfach. IPCop besitzt vier mögliche Schnittstellen: green für das lokale Netzwerk, red für das Internet, blue für WLAN und orange für DMZ. Wir brauchen aber nur für ISDN GREEN (RED is modem/ISDN) für DSL GREEN +RED. Jetzt müssen Sie nur noch den Schnittstellen die richtigen Netzwerkkarten zuteilen. Dazu wählen Sie einfach "OK", um die bislang noch nicht zugewiesenen Netzwerkkarten einer Schnittstelle zuzuweisen. Wenn Sie DSL nutzen müssen Sie jetzt unter "Adress-Einstellungen" das RED-Interface auf "PPPoE" umstellen. Die IP-Adresse und alles andere muss unverändert bleiben. Mit fertig übernehmen Sie alle bisherigen Änderungen. Jetzt können Sie noch den sehr praktischen DHCP-Server installieren. Dieser konfiguriert alle Computer im Netzwerk auromatisch richtig und Fehler werden ausgeschlossen. Aktivieren Sie also den DHCP-Server und tragen Sie als Startadresse "192.168.1.10" und als Endadresse "192.168.1.99" ein. Damit wäre die Konfiguration eigentlich abgeschlossen. Jetzt müssen Sie nur noch Passwörter eingeben, eines für "root" und eines für "admin". Bitte verwenden Sie sichere Passwörter. Jetzt startet IPCop neu und ab jetzt wird er alle bösartigen Pakete, die auf Ihren Computer eindringen sicher abwehren.

Jetzt steht Ihre Firewall. Sie muss nur noch mit dem Internet verbunden werden. Das können Sie mit dem Webinterface von IPCop machen. Öffnen Sie ihren Webbrowser und geben Sie "https://192.168.1.254:445 " ein. Bestätigen sie alle Fenster. Jetzt sind Sie im Webinterface von IPCop. Klicken Sie jetzt auf Netzwerk/Einwahl. Sie werden aufgefordert Ihren Benutzername und Ihr Passwort einzugeben. Ihr Benutzername ist "admin" und das von Ihnen gewählte Passwort. Bei DSL ist wie zuvor eingestellt PPPoE aktiviert. Wenn Sie eine Flatrate haben, aktivieren Sie "Dauerhaft" oder "Dial-On-Demand" und "Verbinden bei IPCop Neustart", wenn Sie keine Flatrate haben aus Kostengründen eher "Manuell". Geben Sie jetzt die Daten ein, welche Sie von Ihrem Provider bekommen haben. Als Profilname geben Sie einen beliebigen Namen ein und klicken auf Speichern. Wechseln Sie jetzt zu "System/Startseite" und klicken Sie auf verbinden. Jetzt wird die Firewall mit dem Internet verbunden. Wenn "verbunden" angezeigt wird, haben Sie eine Verbindung ins Internet. Wenn es nicht klappt, überprüfen Sie noch einmal Ihre Daten. Jetzt müsste Ihr Client ins Internet können, sofern in den Internetoptionen unter Verbindungen/Einstellung "Automatische Suche der Einstellungen" oder ähnlich aktiviert ist. test

IPCop zeichnet sich durch einen großen Funktionsumfang aus (z.B. DMZ, die Möglichkeit ein Dynamisches IP-Adressen-Konto einzubinden, IDS (Intrusion Detection System) zur Verhinderung von raffiniertesten Einbruchversuchen, ein Proxy-Server und ein Assistent für VPNs) und durch die einfache Installation und Bedienung aus. Ich teste IPCop schon lange (mehr als 1 Jahr) und ich habe auch noch Zone Alarm auf meinem Rechner laufen. Aber dieser hat in der ganzen Zeit keinen einzigen Einbruchsversuch festgestellt. Das spricht für sich. Wenn Ihr also einen alten Computer übrig habt, installiert darauf IPCop. Es ist wirklich nur zu empfehlen. Genauere Anleitung (auf Englisch! gibt es auf www.ipcop.org)

Wollen Sie für bestimmte Dienste Ports freigeben (Port-Weiterleitung z.B für Online-Spiele, E-Mail-Server) geht das natürlich auch mit IPCop. Dazu gehen Sie im Webinterface auf Firewall/Port-Weiterleitung. Dort wählen Sie das Protokoll (normalerweise TCP), den Quell-Port, die Ziel-IP-Adresse und den Ziel-Port. Der Quell- und Ziel-Port für Exchange Server wäre beispielsweise 25. Jetzt müssen Sie nur noch auf "Hinzufügen" klicken und die Weiterleitung ist aktiviert.

IPCop unterscheidet zwischen verschieden farbigen Netzwerken. Das grüne Netzwerk stellt das eigene LAN dar, das rote Netzwerk symbolisiert das "ungeschützte" Internet. Ein eventuell vorhandenes WLAN-Netzwerk wird durch die Farbe blau symbolisiert, während orange die "DMZ" (Demilitarized Zone) darstellt. Diese wird für Server verwendet, die aus dem Internet erreichbar sein sollen (Webserver, FTP-Server etc.). Würde nun dieses Netzwerk erfolgreich angegriffen (kompromittiert), sind die anderen Netzwerke davon unabhängig geschützt.

Für jedes Netzwerk, das verwendet wird, wird eine eigene Netzwerkkarte mit IP-Adresse benötigt. Es ist nicht erforderlich, jedes Netzwerk zu verwenden. Ist kein WLAN vorhanden, existiert einfach kein blaues Netzwerk. Ist kein Webserver (o. ä.) vorhanden, wird keine DMZ, also kein orangenes Netzwerk benötigt.

Konfiguriert wird IPcop über ein Webinterface, zu erreichen über http://SERVERNAME:81 oder abgesichert über https://SERVERNAME:445. Alternativ zum Servernamen natürlich auch über dessen IP-Adresse.

Über dieses Webinterface werden dann Dinge wie Port-Weiterleitung (Portforwarding), Öffnen von Ports ("Externer Zugang"), Proxy- und DHCP-Server, aber auch DDNS (Dynamisches DNS), Traffic Shaping, IDS und Zeitserver(NTP) konfiguriert. Des Weiteren erhält man über die Weboberfläche Zugriff auf die verschiedenen LOG-Dateien und deren Auswertungen, die als Grafiken bereitgestellt werden.

Auf die Shell kann der geneigte Benutzer (und Linux-Kenner) natürlich auch zugreifen um tiefergehende Konfigurationen zu erstellen bzw. zu ändern. Dies ist aber nur selten nötig. Der Zugriff erfolgt hierbei dann per SSH auf Port 222.

Über Add-Ons lassen sich die Möglichkeiten dann zusätzlich erweitern. Als Beispiel seien hier ein "URL-Filter", der beliebte Dateimanager "mc" (Midnight Commander), der Editor "Joe" oder auch ein "Advanced Proxy" genannt.

Neben dem IPCop (und dem davon abgeleiteten WRAPCop) gibt es noch andere Software-Produkte mit ähnlichen Einsatzgebieten:

• fli4l, ursprünglich ein Router, welcher von Diskette gestartet werden kann,
• m0n0wall, eine Firewall- und Routerdistribution basierend auf FreeBSD und
• pfSense, eine Firewall- und Routerdistribution basierend auf m0n0wall.

• IPCop-Homepage
• Deutschsprachiges Hilfeforum
• WRAPCop, eine Portierung des IPCop auf die Embedded-WRAP-Plattform