Open-Source-Firewalls
Gratis-Schutz

Open SourceSicherheitSicherheitsmanagementSoftware

Ein alter PC, zwei Netzwerkkarten, ein ISO-Image: Mehr braucht es nicht, um eine Firewall zu bauen, die es mit der käuflichen Konkurrenz durchaus aufnehmen kann. Internet Professionell testet sechs freie Firewalls.

Die Kandidaten

Open-Source-Firewalls

Zwei der bekanntesten Open-Source-Firewalls sind IPCop und Fli4l. Während IPCop von Anfang an als Firewall konzipiert war, sollte Fli4l zunächst nur ISDN-Verbindungen routen. Später kamen dann DSL-Verbindungen und Firewall-Funktionen dazu. IPCop hat sich von dem kommerziellen Produkt Smoothwall abgespaltet. Smoothwall steht zwar auch unter der freien Lizenz GPL, aber nur in einer Sparvariante. Den vollen Funktionsumfang bekommt der Anwender bei Smoothwall nur für Geld.

Das Firewall-Projekt der italienischen Firma Endian stammt von IPCop ab. Laut Hersteller ist es zu großen Teilen neu entwickelt worden, aber die Ähnlichkeiten sind nicht zu übersehen. Die Endian Firewall bietet zusätzlich Virenschutz mit Clam AV und einen Webcontent-Filter. Eigene Entwicklungen sind Devil Linux von Heiko Zuerker und die Coyote Firewall von Vortech. Letztere ist nur für den Privatbereich und in der Ausbildung freigegeben. Der Schweizer Manuel Kasper baut seine Monowall auf Free BSD auf, das als sicherer als Linux gilt. Monowall ist die einzige Distribution, die nicht nur auf Standard-PCs läuft, sondern auch auf leisen und Strom sparenden Embedded-Modellen, unter anderem von Soekris und PC Engines. Zudem bietet Monowall als einziges Modell einen echten WLAN-Access-Point, während IPCop diese Technik nur ansatzweise unterstützt.

Wer ganz auf Nummer sicher gehen will, dem sei die Firewall Gibraltar empfohlen (gibraltar.at). Gibraltar wird verschlossen wie eine Auster geliefert. Wer damit online gehen will, muss jeden Port einzeln öffnen und im Regel-Editor der Firewall explizit freigeben. Vorgegebene Regelsätze oder Schutzprofile gibt es nicht. Das ist zwar sehr sicher, aber auch extrem unpraktisch, weshalb Internet Professionell Gibraltar mangels akzeptabler Usability nicht in den Test einbezogen hat.


Installation

Open-Source-Firewalls

Die meisten Distributionen sind als bootfähige ISO-Images erhältlich. Das Image wird auf CD gebrannt und der alte PC mit diesem Image gestartet. Mit Konsolen-Menüs kann die Firewall dann installiert und konfiguriert werden. IPCop kann zusätzlich auch per Bootdiskette und Netzwerk installiert werden. Meist ist die Firewall in einer halben Stunde betriebsbereit. Das CD-Laufwerk kann nach der Installation ausgebaut werden.

Ganz so einfach machen es Fli4l und Monowall ihren Benutzern nicht. Beide Systeme kommen ohne Bootmedium und müssen per Image-Kopie installiert werden. Um Monowall zu installieren, muss die Festplatte oder Speicherkarte der Firewall an einen Gast-PC angeschlossen werden. Dann wird das Image auf das Medium übertragen und das Speichermedium wird in die Firewall eingebaut. Die lässt sich dann starten und per Web konfigurieren. Die Installation erfordert damit zwar einen Schraubendreher, ist aber ansonsten praktisch. Fli4l ist modular aufgebaut. Es gibt kein fertiges Image, sondern dieses wird bei der Installation neu erzeugt. Dafür muss für jedes Modul eine eigene Konfigurationsdatei bearbeitet werden.


Das können alle

Open-Source-Firewalls

Der klassische Paketfilter, NAT und Routing gehören zum Standard. Alle Kandidaten beherrschen außerdem DSL und lassen sich per Standleitung mit fester IP oder DHCP ins Netz einbinden. Alle erlauben neben dem inneren und dem äußeren Netz noch ein drittes Segment, das sich als demilitarisierte Zone (DMZ) nutzen lässt. Mit Endian und IPCop lässt sich noch ein viertes Segment definieren. Das ist zwar als Wireless-Segment gedacht, erlaubt aber nur den Anschluss eines externen Access-Points an eine zusätzliche Netzwerkkarte. Die Firewall selbst kann nicht für den drahtlosen Zugang genutzt werden. Aus Fli4l lässt sich ein Access-Point basteln, aber eine fertige Lösung bietet nur Monowall.

Wer trotz wechselnder IPs unter einer festen DNS-Adresse erreichbar sein will, kann jede Firewall in diesem Test an einen Service für dynamisches DNS anbinden. Alle Systeme schreiben Logdateien über die Firewall-Zugriffe und eventuelle weitere Dienste wie zum Beispiel IDS. Bis auf Devil Linux und Fli4l können die Logdateien auch an einen Remote-Logging-Server weitergereicht werden. Alle Firewalls werden im Testlabor mit dem aktuellen Nessus 3 auf über 10000 bekannte Schwachstellen überprüft. Da alle Systeme dieser Überprüfung vorbildlich standhalten, haben die Tester das Ergebnis nur am Rande in die Wertung einfließen lassen. Zum Vergleich: In einem ungepatchten Windows XP findet Nessus 14 Sicherheitslücken und lässt den Windows-Rechner abstürzen.


IPCop

Open-Source-Firewalls

IPCop hat sich in den vergangenen fünf Jahren zur beliebtesten Open-Source-Firewall gemausert. Das Programm lässt sich per Boot-CD und Konsolenmenü installieren. Die Internet-Verbindung stellt IPCop per Modem, ISDN, DSL oder Standleitung her. IPCop verwaltet bis zu vier Netzwerkkarten: eine interne, eine externe für DSL, eine für eine demilitarisierte Zone und die vierte als Wireless-Zone. Den Wireless-Zugang stellt IPCop aber nicht selbst her, dafür muss ein externer Access-Point angeschlossen werden.

Schon die Installationsmenüs lassen sich auf Deutsch umschalten, und auch die Web-Oberfläche steht auf Deutsch zur Verfügung. Sicherheitslücken werden vom IPCop-Team schnell behoben. Steht ein Patch zur Verfügung, so weist die Firewall automatisch darauf hin. Den Patch lädt man dann zunächst auf einen lokalen PC herunter und von dort wieder zur Firewall hinauf.

Das größte Manko von IPCop ist der fehlende Regel-Editor. Wer die Firewall-Regeln ändern will, muss den Regelsatz von Hand aus der Distribution herausklamüsern, ändern und wieder hineinbauen. Als Schutz gegen Ping-Flood-Angriffe lässt sich die Ping-Funktion nach außen hin abschalten. Verschlüsselte VPN-Verbindungen lassen sich mit Zertifikaten und vorher ausgetauschten Schlüsseln herstellen. Wer Server-Dienste hinter der Firewall betreiben will, hat die Möglichkeit, einzelne Ports auf einen Rechner im LAN weiterzuleiten. Um IPCop zu erweitern, kann der Anwender auf eine Vielzahl an Add-ons zugreifen.

Fazit. IPCop ist schnell, sicher und lässt sich besonders einfach installieren und warten. Optionale Pakete ergänzen die Firewall um Zusatzfunktionen.

Hersteller: IPCop-Team
Plattform: Linux


Endian

Open-Source-Firewalls

Die Firewall aus Italien ergänzt IPCop um Virenschutz, Spamfilter und professionellen Support. Die Installation ist mit IPCop fast identisch. Die Web-Oberfläche versteht sich mit Deutschen, Angelsachsen und Italienern. Zwar lassen sich das Antivirenprogramm Clam AV und der Spamfilter Spam Assassin als Add-on auch in IPCop einbinden. Aber warum sollte man sich das antun, wenn man mit Endian das Ganze auch als fertig geschnürtes Paket herunterladen kann?

Mit ihren ausgereiften Sicherheitsfunktionen erfüllt die Endian Firewall als einziges Produkt im Test die Kriterien für den UTM-Vergleichstest in der Januar-Ausgabe von Internet Professionell: Paketfilter, IDS, VPN, Virenschutz, Spamfilter und Webcontent-Filter. Endian beherrscht das alles und ist damit die erste Open-Source-Firewall, die in der UTM-Liga mitspielt. Im Gegensatz zu IPCop filtert Endian auch ausgehende Verbindungen, statt nur Verbindungsversuche von außen. Das ist sehr hilfreich, falls einmal ein Trojaner ins Netz gelangt. Die Firewall-Regeln für den ausgehenden Traffic lassen sich mit einem praktischen Regel-Editor ändern. Für VPN-Verbindungen stehen Open VPN und IPSec zur Verfügung.

Leider ist die automatische Update-Funktion von IPCop bei der Weiterentwicklung auf der Strecke geblieben. Die sollte Endian so bald wie möglich wieder integrieren. Und die Funktionsfülle fordert ihren Tribut auch bei
der Geschwindigkeit: Keine andere Firewall in diesem Test bremst den Datenverkehr so wie Endian.

Fazit. Die Endian-Firewall bietet die umfangreichsten Sicherheitsfunktionen im Test und kann in der Liga der Unified-Threat-Management-Lösungen mitspielen.

Hersteller: Endian Internet
Plattform: Linux


Monowall

Open-Source-Firewalls

Das Schweizer Projekt Monowall beruht auf Free BSD und ist mit nur 5,3 MByte der kleinste Download im Test. Um Monowall zu installieren, brauchen Sie einen Schraubendreher. Sie müssen die Festplatte des Ziel-PCs in einen Installationsrechner einbauen, das Monowall-Image darauf kopieren und die Platte dann wieder zurückbasteln. Der Grund für die Komplikation liegt in der Zielplattform von Monowall: Die Firewall ist nämlich für Embedded-PCs konzipiert, die naturgemäß weder CD-ROM-Laufwerk noch Festplatte haben. Auf einem solchen Gerät installieren Sie Monowall, indem Sie das Image auf eine CF-Speicherkarte schreiben und diese in den Embedded-PC einstecken. Fertig ist die Strom sparende und leise Firewall. Wer das Ganze lieber fertig kauft, kann das Gerät für 300 Euro unter www.a-enterprise.ch bestellen.

Monowall bietet zwar auch ein rudimentäres Konsolen-Menü, lässt sich aber viel komfortabler per Web-Interface bedienen. Das Gerät meldet automatisch, wenn ein Update vorliegt, und lässt sich per Web aktualisieren. Allerdings sind keine Patches vorgesehen, sondern das Betriebssystem wird vollständig ersetzt. Die Firewall-Regeln werden in einem komfortablen Regel-Editor definiert. Hier lässt sich auch der Schutz vor ICMP-Attacken einrichten. Das Highlight ist aber der Wireless-Access-Point. Um drahtlosen Netzzugang zu ermöglichen, hat Manuel Kasper ein Captive-Portal in seine Firewall integriert. Die Benutzer können lokal auf der Firewall angelegt werden. Alternativ bindet der Administrator einen Radius-Server zur Authentifizierung ein.

Fazit. Monowall lässt sich als einziger Kandidat als Wireless-Access-Point und auf Embedded-PCs nutzen.

Hersteller: Manuel Kasper
Plattform: Free BSD


Devil Linux

Open-Source-Firewalls

Devil Linux kommt zwar ohne Web-Oberfläche, dafür aber mit gehärtetem Programmcode und haufenweise Zusatzfunktionen. Devil Linux fällt aus dem Rahmen, weil es als modular aufgebauter Rundum-Server konzipiert ist. Es lässt sich aber gut als Firewall einsetzen, indem der Admin alle nicht benötigten Diente abschaltet. Wer noch sicherer gehen will, kann das System mit der eingebauten Build-Funktion auch als reine Firewall neu kompilieren.

Devil Linux sichert seinen Kernel mit GR Security. Die Programme, die darauf laufen, sind mit einem besonders sicheren Compiler gegen Pufferüberlauf geschützt. Die Firewall startet von CD und braucht nicht installiert zu werden. Die Konfigurationsdateien speichert das System auf einer Diskette oder einem USB-Stick. Devil Linux wird komplett über Konsolenmenüs konfiguriert, was im Test problemlos gelingt. Einen Regel-Editor bringt die Firewall nicht mit, stattdessen arbeitet sie nahtlos mit dem Firewall-Builder zusammen (www.fwbuilder.org).

Trotz der vielen Zusatzfunktionen hat Devil Linux im Feature-Test nicht gewonnen. Und das liegt daran, dass die meisten dieser Funktionen auf einer Firewall nichts zu suchen haben. In der Wertung mitgezählt wurden nur der Virenschutz mit Clam AV, der Spamfilter Spam Assassin, das IDS Snort und das Heartbeat-Modul. Letzteres dient dazu, eine hochverfügbare Sicherheitslösung aufzubauen, in der bei Ausfall eines Servers ein anderer einspringt.

Fazit. Wer auf ein Web-Frontend verzichten kann und statt dessen viele Zusatzfunktionen braucht, sollte zu Devil-Linux greifen.

Hersteller: Heiko Zuerker
Plattform: Linux


Fli4l

Open-Source-Firewalls

Ursprünglich war Fli4l nur als ISDN-Router gedacht. Nach und nach kamen immer mehr Funktionen hinzu, so dass das Programm inzwischen eine vollwertige Firewall darstellt. Als einzige Distribution im Test verlangt Fli4l bei der Installation, dass der Benutzer Textdateien bearbeitet. Fli4l ist modular aufgebaut. Um die einzelnen Pakete zu konfigurieren, müssen die Tester für jedes Paket eine Textdatei im Ordner config bearbeiten. Bei einigen Paketen verstecken sich weitere Einstellungen noch an anderer Stelle. Wer sich da durchfuchsen will, kann hunderte von Seiten an Dokumentation zu Rate ziehen. Wer nicht auf Anhieb die richtigen Parameter trifft, kann leicht einen kompletten Tag mit der Installation von Fli4l vertrödeln. In der Vergangenheit existierte ein Windows-Programm, das die Installation mit einem Assistenten erledigte. Das sollten die Entwickler schleunigst wieder auferstehen lassen. Denn das modulare Konzept von Fli4l ist genial.

Der Administrator kann damit eine Firewall erzeugen, die auf eine Diskette passt. Fli4l stellt Internet-Verbindungen per ISDN, Standleitung oder DSL her. Es bezieht auf Wunsch eine feste IP-Adresse von einem dynamischen DNS-Dienst. Mit einem Modul lässt sich eine demilitarisierte Zone aufbauen. Das Proxy-Modul Privoxy stellt Web-Inhalte schneller zur Verfügung und filtert sie. Ganz Mutige bauen aus Fli4l sogar einen Wireless-Access-Point.

Fazit. Wenn die Installation nicht so vorsintflutlich wäre, fiele die Bewertung besser aus. Fli4l ist eine richtig gute Firewall mit vielen praktischen Zusatzfunktionen.

Hersteller: Fli4l-Team
Plattform: Linux


Coyote

Open-Source-Firewalls

Vortech bringt seine kostenlose Firewall für Diskette und für Festplatte heraus. Internet Professionell testet die Festplatten-Version. Im Test lässt sich die Firewall problemlos installieren und konfigurieren. Die Internet-Verbindung wird über Standleitung oder DSL hergestellt. Coyote lässt sich auch als unsichtbare Bridging-Firewall konfigurieren.

Coyote bietet ein kleines Konsolen-Menü, das sich per SSH aus der Ferne warten lässt. Bequemer ist es aber, die Firewall mit dem übersichtlichen Web-Interface zu steuern. Hier sichern die Tester die Konfiguration auf der lokalen Festplatte und stellen sie bei Bedarf wieder her. Auch ein komplettes Update kann per Web eingespielt werden.

Coyote Linux reicht seine Firewall-Logs bei Bedarf an einen Remote-Logging-Server weiter. Es versorgt auf Wunsch die internen PCs per DHCP mit Adressen und bezieht eine feste Adresse von einem dynamischen DNS-Service. Die Firewall kann per SNMP von einem Netzwerk-Überwachungs-Server abgefragt werden und, falls benötigt, Ports automatisch für UPnP-Dienste öffnen. Firewall-Regeln lassen sich in einem Regel-Editor per Web setzen. Dabei wird der ausgehende Traffic ebenso gefiltert wie der eingehende. Ein Schutz gegen Ping-Flood-Angriffe lässt sich ebenfalls im Regel-Editor einrichten. Mit Port-Forwarding ermöglicht Coyote außerdem Server-Dienste auf PCs im LAN.

Coyote verzögert im Test den Netzwerkverkehr am wenigsten. Wichtige Funktionen wie den Zeitabgleich per NTP, IDS oder VPN suchen die Tester jedoch vergeblich.

Fazit. Coyote ist die schnellste Firewall im Test, kann aber zu wenig, um im Vergleich zu überzeugen.

Hersteller: Vortech Internet
Plattform: Linux


Testsieger

Open-Source-Firewalls

IPCop

IPCop ist das ausgereifteste Produkt in diesem Test. Die Firewall bietet gute Schutzfunktionen, lässt sich komfortabel installieren, ad
ministrieren und aktualisieren. Wer will, kann außerdem eine Vielzahl von Add-ons installieren.