Die Firewall von CD

SmoothWall als ISDN/DSL-Firewall

Test & Kaufberatung | Test

Eine Firewall ist mehr als ein Paketfilter - es ist ein Konzept: An der einzigen Kontaktstelle zwischen lokalem Netz und dem Internet schützt ein speziell gesichertes System die dahinterliegenden Rechner vor Angriffen von außen. SmoothWall verspricht eine kostenlose, einfach zu installierende Komplettlösung auf Linux-Basis für Heimanwender und Firmen. Erst der zweite Blick zerstört die schöne Illusion.

Aufmacher

Das Konzept ist bestechend: Statt eine herkömmliche Linux-Distribution zu installieren und nachträglich anzupassen, abzuspecken und vor allem abzusichern, benutzt man eine einzige Installations-CD, um einen alten PC in eine Firewall zu verwandeln. Ein Web-Frontend ermöglicht es auch Nicht-Profis, das System einzurichten und zu verwalten. Die Internet-Anbindung kann via ISDN, DSL oder Ethernet erfolgen. Wichtige und interessante Firewall-Funktionen wie ein Web-Proxy (Squid), Virtual Private Networking (FreeS/WAN), IDS (Snort), Paket-Filter und Accounting (ipchains) und so weiter sind schon vorkonfiguriert.

Vor der Installation steht der Download des 20 MByte großen ISO-Images an. Die damit gebrannte CD installierte SmoothWall flott und problemlos. Nachdem ich im deutschen Handbuch den ungewöhnlichen Port 81 für den eingebauten Webserver (beziehungsweise 445 für die verschlüsselte https-Variante) gefunden hatte, war auch die Inbetriebnahme des DSL-Zugangs schnell erledigt. Irritierend lediglich, dass SmoothWall auf der Einstiegsseite hartnäckig einen Fehler in der Konfiguration monierte, aber keinen Hinweis darauf gab, wo der zu finden sein sollte. Diese Warnung verschwand auch nicht, nachdem die sechs aktuellen Patches eingespielt waren, auf deren Existenz mich SmoothWall selbstständig hinwies.

Nach den ersten Konfigurationsschritten hatten nicht nur die Firewall, sondern auch die dahinterliegenden Rechner Zugang zum Internet. Der ganze Vorgang dauerte nur wenig länger als eine halbe Stunde. Die Web-Oberfläche ist recht gelungen und erlaubt eine einfache Konfiguration der angebotenen Dienste. Allerdings fehlt zum Beispiel eine Option, die Einwahl ins Internet explizit zu unterbinden oder zu starten.

Für solche Fälle und Spezialwünsche kann sich der Administrator direkt über eine verschlüsselte SSH-Verbindung auf dem System anmelden. Doch da hat er mit einer etwas unkonventionellen Organisation der Startup-Skripte zu kämpfen. Denn SmoothWall verwendet nicht das übliche SystemV-Konzept, mit dem man einfach einzelne Dienste hoch- und herunterfahren kann. Bei den ineinander verschlungenen Skripten hatte ich einige Mühe, die Stelle zu finden, an der die DSL-Verbindung initiiert wird.

Ein genauerer Blick auf die Systemkonfiguration enthüllte dann jedoch Erschreckendes. Da lagen Konfigurationsdateien frei les- und teilweise auch beschreibbar auf der Firewall herum: Das Passwort für den DSL-Zugang fand sich im Klartext in einer ungeschützten Datei, selbst der geheime Schlüssel für VPN-Verbindungen genoss keinen besonderen Schutz. Außerdem verzichtet SmoothWall auf Shadow-Passwörter, einem Sicherheitsfeature aller modernen Linux-Distributionen, das die Passwort-Datei vor direktem Zugriff der Benutzer und damit vor Wörterbuch-Angriffen schützt. Der PPP-Daemon beschwert sich in den Log-Dateien bei jedem Start über die freizügigen Leserechte seiner Passwort-Datei - kaum vorstellbar, dass das den Entwicklern entgangen ist.

Natürlich hat eigentlich außer dem Adminstrator niemand etwas auf dem System zu suchen, sodass diese Probleme keine direkte Bedrohung darstellen. Aber der Sinn einer Firewall ist es, das System möglichst gut gegen alle Eventualitäten zu schützen - und nicht, existierende Schutzmechanismen außer Kraft zu setzen. Schließlich könnte ein Fehler in einem der installierten Programme wie dem Web-Proxy irgendwann Zugriff auf lokale Dateien von anderen Rechnern aus erlauben - und dann erhöhen frei lesbare Dateien mit Passwörtern oder geheimen Schlüsseln das Risiko unnötig.

Auch die weiteren Untersuchungen zeigten, dass man es mit der Sicherheit auf dem System nicht so genau nimmt. So überprüfen die zur Administration eingesetzten CGI-Skripte Benutzereingaben nur ungenügend.

Wenn eine Gruppe von Entwicklern - erst recht eine im Geiste der GPL agierende - eine gute Idee mit Erfolg unter die Leute bringt, ist sie in der Regel sehr an Feedback interessiert, um ihr Produkt weiter zu verbessern. Meine konkreten Hinweise auf Sicherheitsprobleme in SmoothWall stießen bei Richard Morrell, Entwickler und Gründer des Projekts, indes auf schieres Desinteresse. ‘Das macht nichts’, war dabei noch der am wenigsten unwirsche Kommentar. Vertrauen in die Kompetenz und Integrität der Entwickler ist eine Grundvoraussetzung für den Einsatz von sicherheitsrelevanter Software. Dieses Vertrauen hat Morrell bei mir gründlich zerstört. (ju)

Das SmoothWall-Team hat auf diesen Artikel geantwortet (in Englisch).

SmoothWall
Hersteller SmoothWall, www.smoothwall.org
Systemanf. 80486, 16 MByte RAM, IDE-System
Preis kostenlos unter GPL

Soft-Link

Kommentare

Anzeige
Anzeige