Der Betrieb eines Heimnetzwerks erfordert eines von zwei Dingen: Entweder ein großes Vertrauen in die Hersteller der vielen Smart-Home-Lösungen und Erweiterungen oder eine Firewall. Denn mit jeder Komponente, die verbaut wird, gibt es einen weiteren digitalen Kanal in die eigenen vier Wände. Und niemand kann derzeit zuverlässig sagen, dass all die Hubs tatsächlich sicher sind.
Siehe auch: 10 Sicherheits-Checks für Ihren PC, die Sie unbedingt prüfen sollten
Firewall trotz Router
Praktisch jeder Router wird mit einer aktivierten Firewall ausgeliefert. Aber nur die wenigsten bieten Optionen, Regeln und Sicherheitsstufen individuell zu verändern. Um zu verhindern, dass der Anwender fatale Fehler begeht, bieten die Geräte nur einige grobe Einstellungen. Bei den von Providern überlassenen Routern sind die Optionen meist generell gesperrt.
In diesem Zusammenhang sollte auch nicht vergessen werden, dass sich der Zugangsanbieter ja ebenfalls einen Kanal in Ihr Heimnetz offen hält, um das Gerät mit Updates zu versorgen oder Fernwartung betreiben zu können. Es gibt somit reichlich Gründe, die eigenen Daten und die internen Geräte zusätzlich abzusichern.
In der Ipfire-Grundkonfiguration ist der Abschnitt „Firewall“ der wichtigste Bereich. Hier steuern Sie mittels der Anlage von Regeln den Datenverkehr.
IDG
Ipfire ist weit mehr als eine Firewall: Im Kern ist Ipfire eine Firewall in Form einer Linux-Distribution. Im Grundaufbau ist das System sehr übersichtlich gehalten und filtert ein- und ausgehende Pakete. Allerdings sollten Sie beim Einrichten von neuen Regeln wissen, was Sie da tun. Wenn Sie noch gar keine Erfahrungen mit der Regelung des Netzwerkverkehrs gesammelt haben, empfehlen wir den sanfteren Sicherheitseinstieg über eine Desktop-Firewall.
Die Wiki-Dokumentation von Ipfire umfasst unzählige Artikel. Dieses Wissen kann unser Beitrag nicht transportieren. Optional kann der Anwender in Ipfire noch weitere Dienste aktivieren. Auf Wunsch übernimmt das System etwa die Aufgaben eines DHCP-Servers oder stellt ein VPN auf Basis von Open VPN zur Verfügung.
Zusätzlich steht eine ganze Reihe von Erweiterungen zur Verfügung, die Ipfire unglaublich vielseitig machen. Als Add-ons stehen Dateiserver wie Samba und Netatalk, Drucker- und Scannerdienste wie Cups und Sane zur Verfügung. Und mit Asteriks kann eine Telefonanlage aufgebaut werden. Was alles möglich ist, haben die Entwickler auf einer eigenen Seite zusammengestellt.
Was Sie zur Installation benötigen
Der abgebildete Aufbau eignet sich für die Nutzung der Firewall hinter einer Fritzbox, die an einem Kabelanschluss hängt.
IDG
Damit Sie Ipfire nutzen können, benötigen Sie einen Rechner, der mit mindestens zwei Netzadaptern ausgestattet ist. Wenn der gesamte Netzwerkverkehr durch das System geleitet werden soll, muss der Rechner naturgemäß rund um die Uhr laufen. Ein stromsparender Mini-PC wäre hier eine gute Wahl. Je nach Aufstellungsort ist dann auch die Anschaffung eines Switches empfehlenswert, über den sich dann weitere Geräte mit der Firewall per Ethernet verbinden lassen.
Angeboten wird Ipfire als ISO-Datei. Ipfire kann auch auf einer virtuellen Maschine auf Basis von Oracle Virtual Box laufen. Diese Variante ist eine gute Möglichkeit, das System vorab besser kennenzulernen. Für diesen Artikel haben wir uns unter www.ipfire.org/download die 64-Bit-Version in Form eines ISO-Image heruntergeladen und dann mit Etcher auf einen USB-Stick übertragen.
Lesetipp: So decken Sie in Ihrem Heimnetz Schwachstellen auf
Netzwerkarchitektur konzipieren
Während der Netzwerkkonfiguration müssen Sie sich zwischen den angebotenen Farbcodes entscheiden.
IDG
Bevor Sie sich an die Arbeit der Installation machen, müssen Sie die von den Entwicklern verwendeten Farbcodes verstehen, um diese auf Ihren Anschluss zu beziehen. Die Farbcodes korrespondieren mit dem Schutzbedarf beziehungsweise der Gefahr der einzelnen Zonen. „Red“ bezeichnet die Verbindung zum Internet, also nach außen. „Green“ verbindet das interne Netz mit der Firewall. Es ist der Bereich des Netzwerks mit dem höchsten Schutzbedarf. „Blue“ ist für das WLAN gedacht, während „Orange“ eine sogenannte DMZ bezeichnet. In einer solchen „demilitarisierten Zone“ werden üblicherweise Geräte untergebracht, die direkt aus dem Internet erreichbar sein sollen.
In unserem Beispiel werden wir die Kombination „Green + Red“ verwenden. Die weiteren Details hängen dann von Ihrem Anschluss ab. Sofern Sie die Zugangsdaten für den (V)DSL-Anschluss besitzen, könnten Sie sich von Ihrem Router trennen und ein einfaches Modem nutzen, da Ipfire PPPoE-Verbindungen initialisieren kann. Dazu kann auch eine Router-Modem-Kombination in den Betriebsmodus „Modem“ gesetzt werden. Leider verabschieden sich immer mehr Provider von dieser Option. Es gibt aber auch die Möglichkeit, Ipfire hinter einem Router zu betreiben.
Dann übernimmt der Router die Aufgabe der Adresszuweisung (DHCP) und operiert als Standard-Gateway für die an der Firewall angeschlossenen Geräte. Bei Kabelanschlüssen ist das auch eher die einzige praktikable Lösung. Sofern gewünscht, ist auch eine direkte Verbindung mit dem Internet möglich. Die Fritzbox bietet dazu die Funktion des „Exposed Host“. Bei diesem Gerät und dessen IP-Adresse sind alle Ports erst einmal geöffnet, es besteht somit eine direkte und ungeschützte (!) Verbindung mit dem Internet.
Um die Einrichtung von Ipfire zu zeigen, wird eine bestehende Anbindung via Fritzbox genutzt. Diese kümmert sich um DHCP und die Adressauflösung. Via Ethernet ist Ipfire mit der Box verbunden. Weitere Geräte hängen über einem Switch an dem Rechner mit Ipfire (grüne Zone).
Installation und Einrichtung
Über den Hostnamen, den Sie während der Installation vergeben, ist die Konfiguration der Firewall später im Netzwerk per Browser zu erreichen. Die IP-Adresse funktioniert natürlich auch.
IDG
Nachdem Sie ein startbares Medium angelegt haben, booten Sie davon das Zielsystem. Um die Einrichtung einmal durchzuspielen, können Sie auch eine virtuelle Maschine damit booten. Die Installationsroutine ist puristisch. Nach dem Akzeptieren der Lizenz und der Auswahl der Festplatte für die Installation muss das Dateisystem gewählt werden. Anschließend wählen Sie noch die Tastatur und Zeitzone aus. Das ist soweit Routine, danach wird es erstmals interessant: Sie vergeben einen Hostnamen und eine Domain. Unter dem Hostnamen ist das System später auch direkt erreichbar („https://[hostname]:444“). Voreingestellt ist zusätzlich „localdomain“, das können Sie auch so belassen.
Es folgt die Vergabe von zwei Passwörtern. Das erste ist für den Rootbenutzer gedacht und wird für Arbeiten an der Systemkonfiguration und der direkten Anmeldung auf der Konsole benötigt. Die Eingabe eines Passworts wird in dem Eingabefeld nicht dargestellt. Sie geben die Daten also „blind“ ein. Das zweite Passwort schützt das Benutzerkonto des Benutzers „admin“. Dieser meldet sich via Passwort auf der Weboberfläche an. Danach erreichen Sie die Konfiguration des Netzwerks.
Dieser Abschnitt ist auch später separat über das Programm „setup“ erreichbar. So können Sie sich im Falle eines Falles als root am System anmelden und die Einrichtung noch einmal durchführen. Wählen Sie zunächst „Typ der Netzwerkkonfiguration“ aus. Im nächsten Fenster treffen Sie die Wahl zwischen den bereits erwähnten Farbkombinationen, in diesem Fall also „Green + Red“. Im nächsten Schritt müssen Sie die eingebauten Netzwerkkarten (besser Netzwerkadapter) den beiden Bereichen zuweisen.
Da hier Herstellerangaben für die Namen genutzt werden, sprechen die Entwickler im Wiki selbst davon, dass Sie eine Chance von 50 Prozent haben, die Netzadapter richtig zuzuordnen. Es sei denn, Sie haben den Adapter selbst eingebaut oder einen USB-Netzadapter verwendet, der sich im Dialog eindeutig zu erkennen gibt.
Im Anschluss werden die Details zu den Schnittstellen definiert. Dazu gehört vor allem die Vergabe der IP-Adressen.
IDG
Den Anschlüssen müssen Sie schließlich noch ihre Adressen und Zugangsdaten mitteilen. Bei der genannten Konfiguration können Sie der „grünen“ Schnittstelle einen Wert aus dem Adressbereich Ihres Netzwerks zuweisen, wenn sich die Fritzbox weiter um die Vergabe von IP-Adressen kümmern soll (zum Beispiel 192.168.255.254). Wählen Sie die „rote“ Schnittstelle, erwartet Ipfire von Ihnen einige zusätzliche Angaben. Das ist wenig überraschend, da sich diese Schnittstelle ja um den ein- und ausgehenden Datenverkehr aus dem Internet kümmert.
Im Dialog für die „rote“ Netzwerkkarte vergeben Sie entweder eine statische IP oder rufen eine via DHCP ab. Damit ist die Konfiguration soweit abgeschlossen. Falls noch nicht getan, verkabeln Sie die Netzwerkschnittstellen. Nach dem Neustart des Rechners sollte die Firewall laufen und aktiv sein.
Via Konsole oder Browser anmelden
Dashboard mit Weboberfläche: Hier erhalten Sie einen Überblick über das Geschehen auf dem System und die aktivierten Dienste.
IDG
Ab sofort können Sie sich von einem über den Switch angeschlossenen Rechner direkt mit Ipfire verbinden. Dazu nutzen Sie die von Ihnen selbst gewählte IP-Adresse für den grünen Bereich (sie befinden sich ja im internen Netz): „https://[IP-Adresse]: 444“. Nach der Anmeldung als Admin begrüßt Sie das System mit dem Dashboard. Der wichtigste Bereich befindet sich im Abschnitt „Firewall“. Um dort eine neue Regel anzulegen, wählen Sie „Create New“. Es folgt ein einfaches Beispiel, um Datenpakete aus dem roten Netz gezielt an einen Port im grünen Bereich durchzulassen.
Der Dialog gliedert sich mehrere Abschnitte. Wählen Sie unter „Source“ Ihren roten Bereich aus. Aktivieren Sie im mittleren Abschnitt „NAT“ die Option „Use Network Address Translation (NAT)“ und wählen Sie „Destination NAT“ aus. Unter „Firewall Interface“ nutzen Sie „Automatic“. Unter „Destination“ entscheiden Sie sich für den grünen Netzwerkbereich. Da Sie einen Port freischalten wollen, müssen Sie diesen unter „Protocol“ definieren. Um beispielsweise Standardanfragen via HTTP durchzulassen, wäre Port 80 richtig. Wählen Sie aus dem Listenfeld „TCP“ und tragen Sie die Portnummer in das Feld „Destination Port“ ein.
Damit sind Sie eigentlich bereits am Ende. Am unteren Teil des Dialogs können Sie noch zusätzliche Angaben machen. Dazu gehört eine kurze Erklärung, was die Verwaltung der Regeln später erleichtert. Außerdem kann hier vorübergehend auch eine Regel wieder deaktiviert werden. Mit einem Klick auf „Update“ wird die Regel dann aktiviert und im System hinterlegt. So regeln Sie schrittweise den Datenverkehr in den verschiedenen Richtungen.