Das Kefk Network Wiki befindet sich im Testbetrieb.

IPCop

Aus Kefk.

Wechseln zu: Navigation, Suche
IPCop
Bild:IPCop Logo.gif
IPCop-Logo
Basisdaten
Entwickler: IPCop-Team
Version: 1.4.15  (9. März 2007)
Stammbaum: \ Smoothwall
  \ IPCop
Architekturen: i386
Lizenz: GPL
Sonstiges: Preis: kostenlos
Sprache: mehrsprachig
Website: www.ipcop.org

IPCop ist eine freie Linux-Distribution, die in erster Linie als Router und Firewall fungiert.

Darüber hinaus bietet die Distribution noch ausgewählte Server-Dienste an. Sie basiert bis zur Version 1.5.x auf der freien GPL-Version von Smoothwall und kann um zusätzliche Funktionen erweitert werden.

Inhaltsverzeichnis

Server-Dienste

Der IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxyserver (Squid), einen DHCP-Server, einen Caching-Nameserver (dnsmasq) sowie ein Intrusion Detection System (Snort) bereit. Weitere Funktionen wie Traffic-Shaping, VPN und Dynamic DNS sind vorhanden.

Systemvoraussetzungen

Die benötigte Rechenleistung des PCs richtet sich nach dem Einsatzbereich. Es reichen allerdings schon 133 MHz mit 32 MByte RAM (besser 64 MByte) aus. Es werden mindestens 2 Netzwerkkarten benötigt (PCI, ISA oder VL-Bus), eine für den Anschluss von DSL (oder anderen Router), eine zum Anschluss ans LAN.

Die Rechenleistung bei privatem Gebrauch kann auch schon ein 486er übernehmen, wenn man Squid und das IDS abschaltet.

Schnittstellen

Bild:IPCop Traffic.png
Firewall-Regeln der Schnittstellen

IPCop unterscheidet zwischen verschieden farbigen Netzwerken. Das grüne Netzwerk stellt das eigene LAN dar, das rote Netzwerk symbolisiert das „ungeschützte“ Internet. Ein eventuell vorhandenes WLAN-Netzwerk wird durch die Farbe blau symbolisiert, während orange die „DMZ“ (Demilitarized Zone) darstellt. Diese wird für Server verwendet, die aus dem Internet erreichbar sein sollen (Webserver, FTP-Server, etc.). Würde nun dieses Netzwerk erfolgreich angegriffen (kompromittiert), sind die anderen Netzwerke davon unabhängig geschützt.

Für jedes Netzwerk, das verwendet wird, wird eine eigene Netzwerkkarte mit IP-Adresse benötigt. Es ist nicht erforderlich, jedes Netzwerk zu verwenden. Ist kein WLAN vorhanden, existiert einfach kein blaues Netzwerk. Ist kein Webserver (o. ä.) vorhanden, wird keine DMZ, also kein oranges Netzwerk benötigt.

Webinterface

Konfiguriert wird der IPCop über ein Webinterface, zu erreichen über http://SERVERNAME:81 oder über SSL auf https://SERVERNAME:445. Alternativ zum Servernamen auch über dessen IP-Adresse.

Über dieses Webinterface werden dann Dinge wie Port-Weiterleitung, öffnen von Ports ("Externer Zugang"), Proxy- und DHCP-Server, aber auch DDNS (Dynamisches DNS), Traffic-Shaping, IDS und Zeitserver (NTP) konfiguriert. Des Weiteren erhält man über das Webinterface Zugriff auf die verschiedenen Log-Dateien und deren Auswertungen, die als Grafiken bereitgestellt werden.

Auf die Unix-Shell kann der Benutzer (und Linux-Kenner) auch zugreifen, um tiefergehende Konfigurationen zu erstellen oder zu ändern. Dies ist aber nur selten nötig. Der Zugriff erfolgt hierbei dann per SSH auf dem (bewusst vom Standard abweichenden) Port 222 (statt 22).

Die Möglichkeiten des IPCop lassen sich über Add-Ons deutlich erweitern und den individuellen Bedürfnissen des Netzwerks anpassen. Als Beispiel seien hier genannt:

  • ein "URL-Filter",
  • der beliebte Dateimanager "mc" (Midnight Commander),
  • der Editor "Joe",
  • ein Layer-7-Filter,
  • P2P-Blocks über Content-Filtering,
  • Virenscanning von Mails und Websites
  • QoS-Add-Ons,
  • oder auch ein "Advanced Proxy".

Links zu mittlerweile wöchentlich erscheinenden Add-Ons sind auf der offiziellen Internetseite von IPCop zu finden.

IPCop in virtueller Maschine/User Mode Linux

Die Zeitschrift c't aus dem Heise-Verlag hat im Rahmen eines Server-Projekts den „c't-Debian-Server“ vorgestellt, in dem IPCop in User Mode Linux (UML), einer virtuellen Maschine unter Linux, läuft. Dies spart einen zweiten Rechner für die Firewall ein, wird von vielen Fachleuten jedoch als unsicher eingestuft, da ein Angreifer die Kontrolle über den kompletten Rechner übernehmen könnte (Siehe Artikel bei IPcop-Forum.de). Das Risiko ist nicht auszuschließen, aber die Angriffswege sind recht unwahrscheinlich:

  • Der Angreifer findet und nutzt einen Fehler im Bridging-Code zur virtuellen Maschine und hat damit direkte Kontrolle über den Rechner erlangt. Der Bridge-Code soll die Daten nur zwischen den Netzwerken weiterreichen, ohne in irgendeiner Art die Daten zu interpretieren. Damit sollte der Bridge-Code über das Netzwerk nicht angreifbar sein.
  • Der Angreifer findet und nutzt einen Fehler im IPCop, um Kontrolle über die virtuelle Maschine zu erlangen, und greift dann mit „bewährten Mitteln“ über das Netzwerk den Rechner an. Dieses Szenario ist der GAU für eine Firewall, bei dem die Firewall selbst vom Angreifer für einen Angriff benutzt wird. Hier besteht auch kein Unterschied mehr zwischen einer Firewall auf eigener Hardware und einer Firewall in einer virtuellen Maschine.
  • Der Angreifer findet und nutzt einen Fehler im IPCop, um Kontrolle über die virtuelle Maschine zu erlangen, und findet und nutzt dann einen Fehler im User Mode Linux, um aus der virtuellen Maschine auszubrechen, und schließlich findet und nutzt einen Fehler im Host-Betriebssystem (das direkt auf der Hardware läuft), um die Kontrolle über den Rechner zu erlangen. Drei kaskadierte Fehler sind sehr unwahrscheinlich. Auch hier tritt wieder der Firewall-GAU auf, der Angreifer nutzt die Firewall als Plattform für einen weiteren Angriff.

Ein deutlich höheres Risiko besteht jedoch, wenn neben der Firewall weitere Server-Anwendungen (insbesondere Webserver) auf der gleichen Hardware laufen, wie es auch im c't-Debian-Server der Fall sein kann. Ein Angreifer, der durch einen Fehler in diesen Server-Anwendungen innerhalb der virtuellen Maschine Administrator-Rechte erlangt, könnte durch einen weiteren Fehler in der Virtualisierungssoftware auch Administrator-Rechte im Hostsystem bekommen. Dann ist auch der Weg zur Modifikation der virtuellen Maschine der Firewall frei. Da gerade in Webservern ständig Fehler gefunden werden, müsste man auf die Fehlerfreiheit der im Allgemeinen recht komplexen Virtualisierungssoftware bauen (dies gilt für UML, aber genauso für z. B. VMware, Xen, QEMU). Dies ist durchaus kein unrealistisches Szenario, Firewalls in virtuellen Maschinen sollten deshalb nur dann eingesetzt werden, wenn man wirklich weiß, was man tut.

Installation

Ein fertiges ISO-Image für eine Boot-CD ist auf der Homepage erhältlich. Sollte man kein CD-ROM in seinem PC haben, kann man auch mit Boot-Diskette starten und die restlichen Daten über HTTP/FTP-Server herunterladen.

Die Installation gestaltet sich auch für Linux-Laien als sehr einfach, da sie weitestgehend selbständig abläuft und von Anfang an eine sichere Grundkonfiguration bietet.

Prinzip: Vom eigenen Netzwerk zum Internet ist alles offen, vom Internet ins eigene Netzwerk ist alles geschlossen.

Grundsätzliches Know-How in Sachen "Netzwerk" und "Protokolle" ist beim Benutzer dennoch nötig.

Versionen

<= 1.3.0
Version Datum
0.0.9 28. Dezember 2001
0.1.0 03. Januar 2002
0.1.1 22. Januar 2002
1.2.0 27. Dezember 2002
1.3.0 22. April 2003
>= 1.4.0
Version Datum
1.4.0 01. Oktober 2004
1.4.1 21. November 2004
1.4.2 16. Dezember 2004
1.4.4 15. März 2005
1.4.5 30. März 2005
1.4.6 11. Mai 2005
1.4.8 26. August 2005
1.4.9 04. Oktober 2005
1.4.10 09. November 2005
1.4.11 23. August 2006
1.4.12 16. Januar 2007
1.4.13 16. Januar 2007
1.4.14 03. März 2007
1.4.15 09. März 2007
>= 1.5.0
Version Datum
1.5.0 Noch nicht erschienen

Weblinks

Hilfen

Modifikationen & Tools

Wikipedia
 Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort IPCop, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.
Von „http://kefk.org/wiki/IPCop
Persönliche Werkzeuge