seeseekey.net - Invictus Deus Ex Machina

Die auf Linux basie­rende Rou­ter­dis­tri­bu­tion IPFire (http://www.ipfire.org/) besticht vor allem durch ihre Benut­zer­freund­lich­keit, was dazu führt das sie gerne und oft ein­ge­setzt wird. Zum Pro­jekt gehört dabei eine Wunsch­liste wel­che unter http://wishlist.ipfire.org/ zu fin­den ist.

Das IPFire Interface

Auf der Wunsch­liste kön­nen Pro­jekte finan­ziert wer­den, so das sie anschlie­ßend bevor­zugt imple­men­tiert wer­den. Vor allem der neuste Ein­trag in der Wunsch­liste ist inter­es­sant: „Tor — Pro­tec­ting Online Anony­mity“ — bei die­sem han­delt es sich um die Inte­gra­tion des Anony­mi­sie­rungs­netz­wer­kes Tor in IPFire, so das dass ganze für den Nut­zer anschlie­ßend trans­pa­rent abläuft. Dazu soll­ten ursprüng­lich knapp 1500 € gesam­melt wer­den, mitt­ler­weile sind es aber schon über 1600 €. Das bedeu­tet das wir uns in nächs­ter Zeit auf eine IPFire Ver­sion mit Tor­in­te­gra­tion freuen dür­fen, womit wir ein Schritt näher an benut­zer­freund­li­cher und frus­tra­ti­ons­freier Sicher­heit wären.

Einen Rou­ter mit der Linux Dis­tri­bu­tion IPFire, kann man sich ohne Pro­bleme zusam­men­bauen. Mitt­ler­weile gibt es aber auch spe­zi­elle Rou­ter wel­che um IPFire herum gebaut wur­den, wie z.B. die Modelle „IPFire Pro­fes­sio­nal“ und „IPFire Eco“ wel­che von „Light­ning Wire Labs“ ver­trie­ben wer­den. Das Eco Modell kos­tet dabei 649 Euro, das pro­fes­sio­nelle Modell für bis zu 1000 Benut­zer schlägt mit 1249 Euro zu buchen. Dane­ben wird auf http://www.lightningwirelabs.com/ auch den ent­spre­chende Sup­port geboten.

Es gibt Fälle da reicht der Rou­ter „X“ ein­fach nicht mehr und man wünscht sich etwas grö­ße­res, wie z.B. IPFire. Dabei han­delt es sich um eine Linux Rou­ter Dis­tri­bu­tion wel­che haupt­säch­lich in Deutsch­land ent­wi­ckelt wird. Diese kann dabei unter http://www.ipfire.org/ bezo­gen wer­den. Bevor man mit der Instal­la­tion beginnt, sollte man sich eine Linux Live CD sei­ner Wahl suchen und mit die­ser auf dem Rech­ner boo­ten, wel­cher spä­ter mit IPFire bestückt wer­den soll.

Der Grund für das ganze ist, das man vor der Instal­la­tion ermit­teln sollte, wel­che Netz­werk­karte wel­che MAC-Adresse trägt, sonst kann es bei der Kon­fi­gu­ra­tion der Seg­mente spä­ter zu fal­schen Zuwei­sun­gen kom­men. Der ein­fachste Weg die ent­spre­chende MAC-Adresse pro Karte zu ermit­teln ist es sämt­li­che Netz­werk­ka­bel abzu­zie­hen und dann nach­ein­an­der ein Kabel von Karte zu Karte umzu­ste­cken. In einem Netz­werk mit DHCP-Server kann man nun mit­tels „ifcon­fig“ sehen wel­che Karte eine IP bekom­men hat und die ent­spre­chende MAC-Adresse notieren.

Bei IPFire gibt es unter­schied­li­che Seg­mente in wel­che das Netz­werk unter­teilt wird. Diese sind dabei „Green“, „Blue“, „Orange“ und „Red“. „Green“ bezeich­net dabei das interne Netz hin­ter der Fire­wall, bei „Blue“ han­delt es sich um das WLAN Seg­ment, „Orange“ steht für das DMZ Seg­ment und „Red“ für das böse Inter­net (ein hier ansäs­si­ger Bit­strom­an­bie­ter nennt es auch „das vor­ge­la­gerte Netz“). In die­sem Bei­spiel soll es um die Kon­fi­gu­ra­tion einer Instal­la­tion mit allen vier Seg­men­ten gehen. IPFire ist an die­ser Stelle sehr fle­xi­bel und erlaubt auch klei­nere Kon­fi­gu­ra­tio­nen wie z.B. nur „Green“ und „Red“.

Wenn man mit der Instal­la­tion beginnt wer­den ein paar grund­sätz­li­che Dinge wie die Par­ti­tio­nie­rung, das Datei­sys­tem und andere Klei­nig­kei­ten abge­fragt. Inter­es­sant wird es bei der Kon­fi­gu­ra­tion der Netz­werke. Hier könnte eine Kon­fi­gu­ra­tion für die vier Seg­mente exem­pla­risch so aussehen:

  • Green“ — IP: 192.168.1.1 — Sub­netz: 255.255.255.0
  • Blue“ — IP: 172.16.18.1 — Sub­netz: 255.255.255.0
  • Orange“ — IP: 172.16.19.1 — Sub­netz: 255.255.255.0
  • Red“ — DHCP

Wich­tig ist es hier­bei dar­auf zu ach­ten, das die glei­che Kon­fi­gu­ra­tion, bzw. die glei­chen IP Berei­che nicht für unter­schied­li­che Seg­mente benutzt wer­den soll­ten. So wird die Kon­fi­gu­ra­tion IP: 192.168.1.1 — Sub­netz: 255.255.255.0 dem grü­nen und blauen Seg­ment zuge­wie­sen, einige Pro­bleme verursachen.

Das Web­in­ter­face von IPFire

Bei der Kon­fi­gu­ra­tion der Seg­mente benö­ti­gen einige Ver­bin­dungs­ar­ten noch die Angabe eines DNS Ser­vers, sowie eines Stan­dard­gate­ways. Nach­dem das Setup abge­schlos­sen wurde ist das Web­in­ter­face von IPFire in die­sem Bei­spiel unter:

https://192.168.1.1:444

zu errei­chen. Hier kann dann eine erwei­terte Kon­fi­gu­ra­tion vor­ge­nom­men wer­den, um z.B. den ent­spre­chen­den WLAN Gerä­ten („Blue“) Zugriff auf das Inter­net zu geben.

Wei­tere Infor­ma­tio­nen gibt es unter:
http://wiki.ipfire.org/de/installation/start
http://www.pro-linux.de/artikel/2/613/ipfire.html
http://de.wikipedia.org/wiki/IPFire