erschienen in LinuxEnterprise 5/2002, Software & Support Verlag, Frankfurt a.M.
Trustix XSentry Internet Firewall 1.6 will die recht komplexe Administration solcher Umgebungen durch seine grafische Benutzeroberfläche vereinfachen. Komplexe Firewall-Regeln werden nicht mehr einzeln definiert, sondern anhand eines grafischen Modells des Netzwerks generiert. Zusätzlich soll ein integriertes VPN-Gateway die sichere Anbindung von Filialen und Außendienstmitarbeitern an das Unternehmensnetz ermöglichen.
Die XSentry Internet Firewall [1] wurde vom 1997 gegründeten und inzwischen 60-köpfigen Unternehmen aus dem norwegischen Trondheim entwickelt. Bekannt wurden die Norweger durch den Gewinn des IBM Solution Excellence Awards und das Trustix Secure Linux, welches auch die Basis für die XSentry Firewall ist.
Die Zielgruppe der Software sind kleine und mittlere Unternehmen, die häufig einfach zu administrierende Komplettlösungen bevorzugen. Deshalb bietet Trustix die Firewall auch als Appliance vorinstalliert auf Netfinity Servern von IBM an. Trotz der erheblichen geografischen Distanz zwischen Hersteller und Kunde ist ein angemessener Support sichergestellt. Um die Server-Hardware kümmert sich der IBM Global Service. Den Software-Support übernimmt Trustix selbst und bietet ihn per Email, Telefon oder Fernwartung an. Für den Installations- und Konfigurations-Service vor Ort gibt es eine Reihe deutscher Partner.
Die XSentry-Software besteht aus den Modulen Firewall-Server und Administrations-Client. Die Server-Software basiert auf der Redhat-Distribution und dem bewährten Kernel 2.2.19. Als Paketfilter wird ipchains 1.3.10 eingesetzt, der von Hause aus Network Address Translation (NAT) und Port Forwarding ermöglicht. Beides hilft beim Auskommen mit nur einer offiziellen IP-Adresse. Einen Proxy bzw. Application Level Gateway wie SOCKS [2] oder Dante [3] gibt es leider nicht. Verzichten muss man auch auf Content-Filtering und einen Virus-Filter.
Das bereits eingangs erwähnte VPN ist das IPSec-fähige FreeSwan und nur optional gegen einen saftigen Aufpreis erhältlich. Es verbindet Standorte durch verschlüsselte Verbindungen und erlaubt "Road Warriors" den Zugriff auf Unternehmensressourcen. Zu diesem Zweck erzeugen Server und Clients Zertifikate nach dem X.509-Standard, die zusammen mit der Software von Drittherstellern wie PGPnet [4] von Network Associates auf den Laptops der Einzelkämpfer verwendet werden sollen. Vielleicht liegt dies daran, dass FreeSwan, X.509-Zertifikate und Windows überhaupt ein sehr schwieriges Trio sind, was die Autoren von [5] bestätigen.
Zur Spurensicherung auf der Firewall dient wie üblich dersyslogd und zusätzlich das Programm fwlogwatch[6] , das den Administrator alarmiert und sogar von Ereignissen abhängige, neue Firewall-Regeln erzeugt. Neben den virtuellen Terminals der Konsole werden OpenSSH 2.5.2p2 oder ein Zugang über den seriellen Port S0 mittels mgetty als zusätzliche Wartungszugänge angeboten. Beachten sollte man auch, dass XSentry anstatt Port 22 den Port 350 für SSH verwendet. Wer berechtigte Bedenken wegen der Versionsnummer von OpenSSH [7] hat, sollte die Online-Upgrade-Funktion von XSentry nutzen. Die Authentizität der Upgrades wird durch GnuPG [8]sichergestellt.
Der Administrations-Client wurde in Java entwickelt und benötigt eine eigene Laufzeitumgebung (JRE). Auf der CD werden sowohl Linux- und Windows-Versionen der Sun JRE 3.0 und IBM JRE 1.3 mitgeliefert. Es gibt zwei Client-Versionen. Der Online-Client benötigt im Gegensatz um Offline-Client für die Firewall-Konfiguration eine Verbindung zum Server. Ein Client kann die Konfigurationen mehrerer Firewalls über das lokale Netz oder das Internet verwalten und speichert die Daten im XML-Format.
Wer sich für die Softwarelösung entschieden hat, erhält dazu einen DIN-A5 Ringordner mit etwas mehr als einhundert Seiten in englischer Sprache. Gleich zu Beginn wird man mit den fragwürdigen Lizenzbedingungen konfrontiert, die die gesamte Software -also auch Linux- als Trustix' geistiges Eigentum ausweisen. Da überrascht es auch nicht mehr, dass die Sourcen nicht mitgeliefert werden. Eine wirkliche Zumutung ist die umständliche Lizenz-Installationsprozedur, doch dazu später mehr.
Möglicherweise hoffen vor allem kleine und mittelständische Unternehmen wegen des GUI, ohne externe Unterstützung auskommen zu können. Der mutige Einsteiger mit Heimwerkerambitionen wird trotzdem bald feststellen müssen, dass auch XSentry ein komplexes Produkt ist und fundierte Fachkenntnisse nötig sind. Die kann das Handbuch natürlich nicht vermitteln. Hinzu kommt, dass die darin gemachten Angaben leider nicht immer mit den tatsächlichen Gegebenheiten übereinstimmen. Die zahlreichen, sich mitfwlogwatch bietenden Möglichkeiten haben überhaupt keinen Eingang gefunden. Allenfalls für einen versierten Administrator erfüllt das recht übersichtlich gestaltete Manual seinen Zweck als Anleitung und Referenz.
Wie bei dem einfachen Paketfilter IPCHAINS nicht anders zu erwarten, sind die Hardwarevoraussetzungen vergleichsweise bescheiden. Der XSentry-Server verlangt nach einem Pentium90-Prozessor, 32MB Hauptspeicher und zwei bis maximal vier PCI-Netzwerkkarten. Auch die Adaptec 4-Port-Karten werden unterstützt.
Wer gehofft hatte, schon etwas angestaubte Hardware aus dem Fundus verwenden zu können, wird leider enttäuscht. Das Booten des Trustix-Kernels von CD war auf einem Rechner mit einem Gigabyte AT-Board und einem Award BIOS 4.51/MMX nicht möglich. Die alternative Methode des Bootens von Disketten wird im Handbuch zwar nicht beschrieben, auf der CD fanden sich aber trotzdem zwei Images. Mit Hilfe des dd-Befehls wurde eilends eine Bootdisk erzeugt. Die Freude darüber verflog dann aber schnell, weil das Booten damit nur von IDE-Laufwerken möglich war, der Testrechner aber über eine SCSI-Ausstattung verfügte. In den etwas mageren FAQ's auf der Trustix-Website fand sich auch kein Hinweis für die Lösung dieses Problems. Will man die VPN-Funktionalität einsetzen, ist ohnehin ein moderner Rechner mit mehr Rechenleistung für die Verschlüsselung nötig. Satte Rechenleistung braucht auch der Administrations-Client. Für ihn stand ein Pentium II/400 mit 128 MB Hauptspeicher zur Verfügung, der unter Windows 98 häufiger drei oder vier "Gedenksekunden" einlegen musste, bis es endlich weitergehen konnte.
Bevor der beginnt, kann man bei der Installation des Servers seine Kräfte sammeln. Bootet der Rechner nämlich erst einmal von der CD, ist der Rest der Installation und Konfiguration schnell erledigt. Redhat-Kenner werden sich gleich wie zuhause fühlen. Nachdem die üblichen Angaben wie Zeitzone, Hostname, IP-Adressen etc. gemacht sind, wird das schlanke Trustix Secure Linux in wenigen Minuten installiert. Um DoS-Angriffen vorzubeugen, sollten jeweils eigene Partitonen für die Verzeichnisse /varund /tmp eingerichtet werden. Sinnvollerweise blockiert die Firewall in der Standardeinstellung jeden Netzwerkverkehr. Für die Konfiguration mit dem Client ist es deshalb notwendig, die Option Unblock Traffic ab- und die Option Enable ping testing einzuschalten. Gut gefallen hat die automatische Warnung des Systems bei einer noch unvollständigen Netzwerk-Konfiguration. Die Lizenzgenerierung funktioniert auch nur, wenn die Netzwerkkonfiguration vollständig abgeschlossen ist.
Hat man sich für den Linux-Client entschieden, muss zuvor die mitgelieferte Java-Runtime-Environment (JRE) von IBM installiert und das Programm XSentry_Install.binausgeführt werden. Leider schlägt dies zumindest unter SuSE Linux 7.1 und Kernel 2.2.19 mit einem Segmentation Fault fehl. Die freundlichen Mitarbeiter des Trustix-Support empfohlen mir, Redhat-Linux oder Mandrake ab Version 6.2 bzw. 7.2 zu benutzen, weil die SuSE-Distribution nicht unterstützt wird. Außerdem würde sich auf der CD für solche Fälle ein statisch gelinkter Client befinden. Sie ahnen es wahrscheinlich schon: Die Datei war natürlich nicht auf der CD. Der nach meiner dritten Email innerhalb von 30 Minuten noch immer freundliche Supporter richtete eigens einen FTP-Account ein, damit ich die 15 MB große Datei herunterladen konnte.
Unter Windows 98 gab es hingegen keinerlei Probleme mit der Software-Installation. Dafür ist die Lizenzgenerierung umso umständlicher. Zusammen mit der Software erhält man ein E-Ticket, das als Eintrittskarte für das "Lizenztheater" dient. Hat man mit seiner Hilfe Zugang zur Online-Linzenzierung auf der Trustix-Website erhalten, gibt man dort noch den Server-Schlüssel ein. Der wird mit Hilfe des Clients ausgelesen und angezeigt. Das Handbuch empfiehlt, den Schlüssel einfach mit der Cut & Paste-Funktion vom Textfenster des Clients in das Textfeld auf der Website zu kopieren. Nur funktioniert die gewohnte Tastenkombination <Strg><Einfg>, die markierte Texte in die Windows-Zwischenablage kopiert, im Client nicht. Dies mag mit der Unvollkommenheit der Java-Laufzeitumgebung zusammenhängen. Es blieb also nur, die 63 kryptischen Zeichen von Hand einzugeben. Nach zwei vergeblichen Versuchen waren meine und die Geduld des gestressten Support-Mitarbeiters am Ende und der Lizenzschlüssel per Email verschickt. Es geht also auch einfacher.
Übrigens muss die IP-Adresse des Servers auf dem Administrations-Client unbedingt als Default-Gateway eingetragen werden. Ansonsten startet der Client erst gar nicht oder bleibt einfach hängen, ohne den Grund für sein Ableben zu nennen.
Nachdem die Installations- und Lizenzhürden erfolgreich überwunden sind, werden die Firewall-Regeln mit Unterstützung des Administrations-Clients erzeugt. Im Gegensatz zu den mit Icons verzierten Regeltabellen anderer kommerzieller Produkte werden hier auf der Basis der grafischen Darstellung des Netzwerks die Firewall-Regeln durch Drag & Drop erstellt. Wie in der Abbildung (ca. 120KB) gezeigt, ist die Arbeitsfläche dafür in die Bereiche Intranet, Internet und Demilitarisierte Zone (DMZ) unterteilt. Im ersten Schritt werden alle Rechner durch einen Klick mit der rechten Maustaste in der jeweiligen Zone erzeugt, um dann im zweiten Schritt durch das Ziehen von Verbindungen die Regeln zu erzeugen. Dabei sollte man sich nicht nur aus Sicherheitsgründen jeden Schritt überlegen. Will man die Verbindung doch nicht herstellen, klebt die Linie -einem Kaugummi am Schuhabsatz gleich- fortan am Mauszeiger und ist trotz verzweifelten Hämmerns auf Escape und andere Tasten nicht dazu zu bewegen, von seinem Opfer zu lassen. Um doch noch zu entkommen, klickt man auf das Ausgangsobjekt, was mit einer Fehlermeldung quittiert wird.
Das Logging kann für jede Regel einzeln eingeschaltet werden. Sehr nützlich sind die Hostfolders, mit dem sich bestimmte Internet-Hosts auf eine schwarze Liste setzen lassen. Abschließend transferiert der Client die Regeln auf die Firewall und aktiviert sie. Das Überschreiben einer bereits existierenden Konfigurationsdatei ist ungewöhnlicherweise nicht möglich, was aber auch sein Gutes hat. Sollten Änderungen nicht den gewünschten Erfolg bringen, kann man immer zu der letzten Konfiguration zurückkehren.
Bei der Gewöhnung an die Oberfläche und ihre Möglichkeiten wären praxisbezogene Beispiele sehr hilfreich. Leider finden sich die weder im Handbuch noch auf der CD.
Die Lizenzkosten richten sich nach der Anzahl der Firewall-Zonen. Unter Zonen versteht Trustix Intranet, Internet und demilitarisierte Zonen. Für Unternehmen mit einem einfachem Internetzugang ohne öffentliche Web- oder Mailserver wären demnach die Lizenzgebühren für zwei Zonen fällig. Ein Einsatz macht hier wenig Sinn, da fast alle Standleitungs-Router über einen Paketfilter verfügen. Die Modellrechnung geht von einem Grenznetz mit einem öffentlichen Server, also drei Zonen, aus. Hinzu kommen die Kosten für die Installation und Konfiguration vor Ort, für die zwei durchschnittliche Tagessätze eines Consultants angesetzt werden. Das Modell-Unternehmen entscheidet sich für Email-Support und schickt den im Umgang mit Firewalls unerfahren Administrator zum Training . Weitere Kosten für Hardware und Reisespesen wurden nicht berücksichtigt.
| Modellrechnung XSentry Firewall 1.6 (3 Zonen) | |
|---|---|
| Lizenzkosten | 3718.- DM |
| Installation/Konfiguration | 3000.- DM |
| Email-Support p.a. | 1194.- DM |
| Training | 1914.- DM |
| Gesamtkosten (excl. Hardware u. Reisespesen) | 9826.- DM |
Die Marktführer der Security-Branche sind bekannt für ihre Abneigung gegenüber Produktbesprechungen. Ein kleineres Unternehmen wie Trustix stellte hingegen ohne Umschweife ein Testexemplar zur Verfügung. Das ließ hoffen und ich hätte gerne schon deshalb mehr Gutes über das Produkt berichtet. Die hohen Kosten scheinen jedoch angesichts der Kinderkrankheiten und des gebotenen Schutzes fragwürdig. Ein Dienstleister wird anhand eines Pflichtenheftes mit den "Linux-Bordwerkzeugen" eine sicherere und flexiblere Lösung anbieten können. Der Auftraggeber muss damit nicht einen der elementarsten Vorteile von Open Source Software aufgeben. Er bleibt weiterhin unabhängig von Herstellern und Dienstleistern. Dies gilt umso mehr in einem derart schnelllebigen Wirtschaftssystem.
Very ParaNoid (2) - Mythos Sicherheit
Very ParaNoid (1) - Schutz vor Lauschern aller Art
[1] Trustix AS: http://www.trustix.com/xsentry
[2] SOCKS Proxy: http://www.socks.nec.com
[3] Dante Proxy: http://www.inet.no/dante
[4] PGPnet: http://www.pgp.com
[5] Moderner Tunnelbau, von Jürgen Schmidt u. Peter Siering, CT 18/2001, Heinz Heise Verlag
[6] fwlogwatch: http://cert.uni-stuttgart.de/projects/fwlogwatch/
[7] OpenSSH: http://www.openssh.org
[8] GnuPG: http://gnupg.org
