Sicherheit im Internet - oder wie richte ich einen firewall-Router für daheim


Damit das mal deutlich wird:  Jeder der eine Verbindung zum Internet aufbaut ist Teil des Internets!
Und somit angreifbar. Wer Lust hat, kann ja mal die Demo-Seite von Georgi Guninski besuchen. Hier wird eindrucksvoll gezeigt, wie man z.B. den Festplatteninhalt auslesen kann.

Zugegeben, hier kommt es sehr auf die verwendeten Einstellungen des Browsers und natürlich der aufgesuchten böhzen Seiten an. Aber ohne Java wird man heutzutage nicht mehr viel auf dem Bildschirm erkennen. Durch die Vergabe von dyn. IP-Adressen durch den Provider ist der Normalanwender auch weiter auf der vermeintlich sicheren Seite.
 

Der Normalanwender (wozu ich mich auch zähle) hat einen PC, Standard-Software und Modem/ISDN. Jeder, der die Pressemeldungen verfolgt, hört z.B. von Internet-Angriffen auf Yahoo, Download-Überwachung durch Microsoft usw.

Spätestens hier sollte man die Anschaffung einer Firewall-Lösung in Betracht ziehen. Was das ist ? Frei übersetzt ist eine firewall ein Schutz gegen unberechtigtes Eindringen z.B. in einem lokalem Netzwerk. Hier gibt es viele Möglichkeiten von Firewall-Router bis  Proxy-Firewall.

Was man braucht ? In diesem Beispiel: 2 Netzwerkkarten, 1 Crossover-Netzwerkkabel und einen Zweit-PC (ab 486 mit 8MB RAM). Kostenpunkt ca. 70,-DM und den alten PC vom Keller wieder flott machen :-) .

Da ich selbst kein Programmier-As bin, habe ich nach kostenlosen Fertig-Lösungen gesucht und gefunden. Anbei eine kleine Auflistung:
 

Bei den obengenannten Programmen handelt es sich natürlich :) um Linux Distributionen, die aber zum Teil auf 1 (-3) Disketten passen und sogar ohne Festplatte auskommen. Wer unbedingt auf Microsoft basierende Software schwört, der sollte den Jana-Server ausprobieren. Zum Vergleich kann man die Lightversion der Kaufsoftware GNATbox testen.

Wer einen leistungsstarken Zweit-PC hat, kann natürlich eine vollwertige Linux-Distribution verwenden und z.B. mit Samba, ipfwadm und tcpd einen ähnlichen Schutz aufbauen. Wie auch immer man sich für eine Variante entscheidet, ich setze FREESCO ein und bin mehr als zufrieden.

FREESCO hat den Vorteil mit nur einer Diskette auszukommen und ist schon mit einem 386SX lauffähig. Es wird aber ein 486 mit 16MB RAM empfohlen; ich verwende nur 8MB RAM, habe aber Swap eingerichtet. FREESCO kann man nämlich auch auf einer DOS Umgebung installieren.

Also, was ist zu tun ?

Imagedatei, driver und rawrite downloaden und in DOS-Umgebung die Installationsdiskette mit rawrite erstellen. Netzwerkkarten einbauen und installieren; beim "Zweit-PC" eventuell nur DOS installieren und Modem anschließen. Danach von Diskette booten und nach der üblichen root/root Eingabeaufforderung setup eingeben.

Als Netzwerkkarten werden standardmäßig 3Com und Ne2000 und kompatible erkannt, ansonsten ist die Driver-Datei einzusetzen. Bei modernen Netzwerkarten werden die IRQ-Einstellungen oft per Software festgelegt. Hier ist es ratsam die Adresse per Jumper/ Programm fest vorzugeben, z.B. io=0x280, irq=5.

Für die Nutzung auf Festplatte wird der Befehl move2hdd eingegeben; die Software wird auf einer UMSDOS Umgebung installiert und beim Booten mit Ausführung von router.bat gestartet. Niemals von der DOS Umgebung in den Dateien rumpfuschen! 

Die ganze Konfiguration wird menuegeführt eingeben und ist relativ einfach in der Dokumentation des Herstellers nachzuvollziehen. Die Docu ist aber noch nicht fertig, da die Software noch im Beta-Stadium ist.

Die Hauptschwierigkeit liegt in der Konfiguration der Clients (hier Win9x); da bin ich auch gestolpert... Als Netzwerksoftware ist nur TCP/IP zu installieren! Die hoffentlich richtig erkannte Netzwerkkarte benötigt folgende Einstellungen: IP-Adresse (192.168.xxx.xxx), unter Gateway und DNS die IP-Adresse des Routers (192.168.xxx.yyy), als Domain standardmäßig inet und als Hostname z.B. router.inet eintragen. Der Client sollte unter Identifikation auch einen Namen haben.

Damit sollte es klappen. Beide Systeme booten. Im Client die Verbindung mit ping 192.168.xxx.yyy testen. Dann den Internet-Browser starten und die Adresse des Routers eingeben, Port 82 (192.168.xxx.yyy:82). Voilá, der httpd sollte sich jetzt melden! Ja, diese Software bietet auch eine Administration per Web-Client. Wer sein Homepage-Layout unter "echten" Bedingungen testen will, kann nachträglich den httpd unter setup/advanced auch für die "Aussenwelt" aktivieren und alle Dateien unter /mnt/www ablegen.

Zur Zeit bietet die Software folgendes an: DNS-, DHCP-, Time-, Telnet-, Web-, Print- und RemoteAccess Serverdienste.

Für die Festplatten-Installation sind Erweiterungen wie eine Datenbank mSQL oder den MidnightCommander möglich. Zu beachten gilt die Verwendung von libc5-Packages und das Ablegen der Binaries unter /mnt/router/rc sowie die Anpassung der rc_user Datei. Wie gesagt, das System arbeitet vollständig im RAM. D.h. das Rootverzeichnis / ist quasi virtuell und wird bei jedem Neustart aufgebaut. Alle im Rootverzeichnis vorher durchgeführten Veränderungen gehen verloren.

Wer nun sein mini-Netzwerk prüfen will, der kann auf satan, saint oder nessus zurückgreifen. Und nicht vergessen alle Passwörter der registrierten User mit passwd zu ändern.

Mit dieser Arbeit ist der Sonntagnachmittag gerettet und man ist ungetrübten WWW-Ausflügen ein bißchen näher gekommen.
 
 



freesco