Sicherheit im Internet - oder wie richte ich einen firewall-Router fuer daheim


Damit das mal deutlich wird: Jeder der eine Verbindung zum Internet aufbaut ist Teil des Internets!
Und somit angreifbar. Wer Lust hat, kann ja mal die Demo-Seite von Georgi Guninski besuchen. Hier wird eindrucksvoll gezeigt, wie man z.B. den Festplatteninhalt auslesen kann.

Zugegeben, hier kommt es sehr auf die verwendeten Einstellungen des Browsers und natürlich der aufgesuchten böhzen Seiten an. Aber ohne Java wird man heutzutage nicht mehr viel auf dem Bildschirm erkennen. Durch die Vergabe von dyn. IP-Adressen durch den Provider ist der Normalanwender auch weiter auf der vermeintlich sicheren Seite.

Der Normalanwender (wozu ich mich auch zaehle) hat einen PC, Standard-Software und Router(Modem, ISDN). Jeder, der die Pressemeldungen verfolgt, hört z.B. von Internet-Angriffen auf Yahoo, Download-Ueberwachung durch Microsoft usw.

Spaetestens hier sollte man die Anschaffung einer Firewall-Loesung in Betracht ziehen. Was das ist ? Frei übersetzt ist eine firewall ein Schutz gegen unberechtigtes Eindringen z.B. in einem lokalem Netzwerk. Hier gibt es viele Möglichkeiten von Firewall-Router bis Proxy-Firewall.

Was man braucht ? In diesem Beispiel: 2 Netzwerkkarten, 1 Crossover-Netzwerkkabel und einen Zweit-PC (ab 486 mit 8MB RAM). Kostenpunkt ca. 70,-DM und den alten PC vom Keller wieder flott machen :-) .

Da ich selbst kein Programmier-As bin, habe ich nach kostenlosen Fertig-Loesungen gesucht und gefunden. Anbei eine kleine Auflistung:

Bei den obengenannten Programmen handelt es sich natuerlich :) um Linux Distributionen, die aber zum Teil auf 1 (-3) Disketten passen und sogar ohne Festplatte auskommen. Wer unbedingt auf Microsoft basierende Software schwoert, der sollte den Jana-Server ausprobieren. Zum Vergleich kann man die Lightversion der Kaufsoftware GNATbox testen.

Wer einen leistungsstarken Zweit-PC hat, kann natuerlich eine vollwertige Linux-Distribution verwenden und z.B. mit Samba, ipfwadm und tcpd einen aehnlichen Schutz aufbauen. Wie auch immer man sich für eine Variante entscheidet, ich setze FREESCO ein und bin mehr als zufrieden.

FREESCO hat den Vorteil mit nur einer Diskette auszukommen und ist schon mit einem 386SX lauffaehig. Es wird aber ein 486 mit 16MB RAM empfohlen; ich verwende nur 8MB RAM, habe aber Swap eingerichtet. FREESCO kann man naemlich auch auf einer DOS Umgebung installieren.

Also, was ist zu tun ?

Imagedatei, driver und rawrite downloaden und in DOS-Umgebung die Installationsdiskette mit rawrite erstellen. Netzwerkkarten einbauen und installieren; beim "Zweit-PC" eventuell nur DOS installieren und Modem anschließen. Danach von Diskette booten und nach der üblichen root/root Eingabeaufforderung setup eingeben.

Als Netzwerkkarten werden standardmäßig 3Com und Ne2000 und kompatible erkannt, ansonsten ist die Driver-Datei einzusetzen. Bei modernen Netzwerkarten werden die IRQ-Einstellungen oft per Software festgelegt. Hier ist es ratsam die Adresse per Jumper/ Programm fest vorzugeben, z.B. io=0x280, irq=5.

Für die Nutzung auf Festplatte wird der Befehl move2hdd eingegeben; die Software wird auf einer UMSDOS Umgebung installiert und beim Booten mit Ausführung von router.bat gestartet. Niemals von der DOS Umgebung in den Dateien rumpfuschen!

Die ganze Konfiguration wird menuegeführt eingeben und ist relativ einfach in der Dokumentation des Herstellers nachzuvollziehen. Die Docu ist aber noch nicht fertig, da die Software noch im Beta-Stadium ist.

Die Hauptschwierigkeit liegt in der Konfiguration der Clients (hier Win9x); da bin ich auch gestolpert... Als Netzwerksoftware ist nur TCP/IP zu installieren! Die hoffentlich richtig erkannte Netzwerkkarte benoetigt folgende Einstellungen: IP-Adresse (192.168.xxx.xxx), unter Gateway und DNS die IP-Adresse des Routers (192.168.xxx.yyy), als Domain standardmaessig inet und als Hostname z.B. router.inet eintragen. Der Client sollte unter Identifikation auch einen Namen haben.

Damit sollte es klappen. Beide Systeme booten. Im Client die Verbindung mit ping 192.168.xxx.yyy testen. Dann den Internet-Browser starten und die Adresse des Routers eingeben, Port 82 (192.168.xxx.yyy:82). Voilá, der httpd sollte sich jetzt melden! Ja, diese Software bietet auch eine Administration per Web-Client. Wer sein Homepage-Layout unter "echten" Bedingungen testen will, kann nachträglich den httpd unter setup/advanced auch für die "Aussenwelt" aktivieren und alle Dateien unter /mnt/www ablegen.

Zur Zeit bietet die Software folgendes an: DNS-, DHCP-, Time-, Telnet-, Web-, Print- und RemoteAccess Serverdienste.

Für die Festplatten-Installation sind Erweiterungen wie eine Datenbank mSQL oder den MidnightCommander moeglich. Zu beachten gilt die Verwendung von libc5-Packages und das Ablegen der Binaries unter /mnt/router/rc sowie die Anpassung der rc_user Datei. Wie gesagt, das System arbeitet vollständig im RAM. D.h. das Rootverzeichnis / ist quasi virtuell und wird bei jedem Neustart aufgebaut. Alle im Rootverzeichnis vorher durchgeführten Veränderungen gehen verloren.

Wer nun sein mini-Netzwerk prüfen will, der kann auf satan, saint oder nessus zurueckgreifen. Und nicht vergessen alle Passwoerter der registrierten User mit passwd zu ändern.

Mit dieser Arbeit ist der Sonntagnachmittag gerettet und man ist ungetruebten WWW-Ausfluegen ein bisschen naeher gekommen.

Update: Gott, das waren Zeiten: DOS und Modem. Heute sind Router, alias Kleinstcomputer wie die Fritzboxen angesagt. Zum Glueck bieten diese schon einen gewissen Grundschutz. Dennoch - unsereiner hat eine transparente Firewall mittels pfsense umgesetzt, und das als hardware-Loesung mit einem Alix-Kleinstcomputer.