Suchen

Kostenlose Firewalls unter Linux 7 Open-Source-Firewalls auf Basis von Linux

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Eine gut konfigurierte Firewall braucht jedes Netzwerk. Open-Source-Firewalls haben den Vorteil, dass Sie kostenlos sind und es nachprüfbar keine Hintertüren gibt. Der Code ist bekannt und wird meist regelmäßig gepflegt. Es kostet zwar in der Regel etwas mehr Arbeit um sie zu installieren und zu konfigurieren, aber es lohnt sich manchmal doch einen Blick auf diese Technologie zu werfen.

Open-Source-Firewalls haben nicht immer den gleichen Funktionsumfang wie kommerzielle Firewalls, oft ist das aber auch gar nicht notwendig.
Open-Source-Firewalls haben nicht immer den gleichen Funktionsumfang wie kommerzielle Firewalls, oft ist das aber auch gar nicht notwendig.
(Bild: gemeinfrei / Pixabay )

Open-Source-Firewalls werden auf vorhandener Hardware installiert und mit dem Internet verbunden. Dadurch lassen sich die Firewalls schnell zum Einsatz bringen, ohne die Sicherheit des Netzwerks in Gefahr zu bringen. Im Gegenteil, häufig bietet Open-Source-Firewalls auch für weniger erfahrene Administratoren einen großen Vorteil, da sie meistens einfacher und schneller eingerichtet werden können.

Natürlich haben Open-Source-Firewalls nicht immer den gleichen Funktionsumfang wie kommerzielle Firewalls. Das ist oft aber auch nicht notwendig. Wer Support benötigt, muss beim Einsatz von Open-Source-Firewalls auf das Internet setzen. Wer hier auf Nummer sicher gehen will, dass er immer Support erhält, muss auf einen kommerziellen Anbieter setzen. Spezieller Support ist nur bei Lösungen möglich, die kostenpflichtig sind. Wer auf eine Open-Source-Firewall setzt, muss sich im Klaren sein, dass er diese selbst verwalten und Probleme selbst lösen muss, natürlich mit Hilfe von Foren im Internet.

Bildergalerie
Bildergalerie mit 10 Bildern

Wir stellen in diesem Beitrag auch Open-Source-Firewalls wie IPCop oder Smoothwall Express vor, die schon länger nicht mehr weiterentwickelt werden. Diese Firewalls eignen sich für den Einsatz in Test- und Entwicklungsumgebungen, aber nicht unbedingt für den Einsatz in produktiven Netzwerken. Da diese aber zu einer vollständigen Liste gehören, weil sie seit Jahren auf dem Markt sind, haben wir auch diese Firewalls erwähnt. M0n0wall wird seit Jahren nicht mehr weiterentwickelt, ist aber eine der bekanntesten Open Source-Datenbanken im letzten Jahrzehnt.

Das muss eine Open-Source-Firewall können

Natürlich müssen Open-Source-Firewalls für einen ausreichenden Schutz sorgen, genauso wie kommerzielle Firewalls. Der Schutz, den eine Firewall bieten muss, wird auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „IT-Grundschutz“ beschrieben. Es muss einen Paketfilter zum externen Netzwerk, also in den meisten Fällen das Internet, geben. Zusätzlich muss es einen Paketfilter in das interne Netzwerk geben. Auch ein Application Layer Gateway (ALG) muss es in der Firewall geben. Hier werden die Ports verwaltet, die von Anwendungen für den Zugriff in das Internet genutzt werden. Das ALG steuert die dynamische Freigabe dieser Ports, damit Protokolle wie SMTP, FTP und andere einfacher und sicherer freigeschaltet werden können.

Eine weitere Sicherheits-Funktion die eine Firewall bieten sollte ist „Stateful Packet Inspection“ (SPI). Bei dieser Sicherheitsfunktion werden Datenpakete die durch die Firewall geschickt werden, einer bereits bestehenden Sitzung zugeordnet. Bei der Analyse der Pakete, werden die Daten der aktuellen Sitzung mit einbezogen. Dazu werden die Eigenschaften von ausgehenden Paketen gespeichert und mit eingehenden Paketen verglichen. Dadurch erkennt die Firewall zum Beispiel Pakete, die zu einer Sitzung gehören und lässt diese zu, während andere blockiert werden, die einen Angriff darstellen können. SPI-Firewalls stellen eine wichtige Sicherheitsfunktion in Firewalls dar, die vor allem von weniger geübten Administratoren einfacher eingerichtet werden können, als Paketfilter.

Voraussetzungen für den Betrieb einer Open-Source-Firewall

Wer eine Open-Source-Firewall betreibt, benötigt einen Computer, auf den die Firewall-Software installiert wird. Der Computer muss über mindestens zwei Netzwerkadapter verfügen, zwischen denen der Datenverkehr durch die Firewall gesteuert wird. Soll es auch eine DMZ geben, ist natürlich ein dritter Adapter notwendig. Der Computer sollte über eine einigermaßen moderne CPU verfügen und über genügend Arbeitsspeicher, um die Anfragen aus dem Netzwerk oder dem Internet zu gewährleisten.

OPNsense - Firewall mit VPN-Funktionen

OPNsense ist ein Fork von pfSense und eine Weiterentwicklung von m0n0wall. Die Open-Source-Firewall verfügt über viele Funktionen, die ansonsten kostenpflichtigen Firewalls vorbehalten sind. Beispiele dafür sind IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter und weitere Dienste, die sich einbinden lassen. Auch ein DHCP- und DNS-Server ist verfügbar, genauso wie die Möglichkeit zum Aufbau eines VPN mit OpenVPN. Als Basisbetriebssystem wird FreeBSD 11.x verwendet, genauer gesagt die gehärtete Variante (HardenedBSD). Für die Sicherung der Datenpakete wird auf den Paketfilter „pf“ gesetzt. Die Firewall ist also ideal dafür geeignet, um in kleinen Unternehmen Home-Office-Funktionen bereitzustellen, damit sich Anwender von zu Hause einwählen können.

Pfsense - Firewall auf FreeBSD-Basis

Pfsense basiert ebenfalls auf FreeBSD. OPNSense wurde auf Basis von Pfsense entwickelt. Die Firewall ist, wie OPNSense in wenigen Minuten einsatzbereit. Auch Pfsense setzt auf den Paketfilter „pf“. Die Verwaltung erfolgt über eine Weboberfläche. Die Firewall steht auch als Appliance mit dazu passender Hardware zur Verfügung.

IPCop Firewall - Firewall mit Proxy-Funktion

Die IPCop Firewall zeichnet sich durch eine einfache Installation und Verwaltung aus. Die Open-Source-Firewall ist bereits älter. Die Firewall wird nicht mehr aktiv weiterentwickelt, sie bietet aber immer noch einen Grundschutz für kleine Netzwerke. Allerdings ist der Einsatz nur zu empfehlen, wenn keine Zeit bleibt eine modernere Firewall einzurichten. IPCop stellt nach der Installation auf einen Proxyserver auf Squid-Basis parallel zu den Firewall-Funktionen bereit. Die Oberfläche erlaubt die Konfiguration aller notwendigen Einstellungen. Administratoren mit Linux-Wissen können aber auch auf die Shell zugreifen.

IPFire - Firewall, Proxy und VPN

IPFire kann als Firewall genutzt werden, aber auch als Proxy und VPN-Gateway. Dazu kommt ein Intrusion Detection System (IDS). Das System ist in wenigen Minuten einsatzbereit.

Smoothwall Express

Bei Smoothwall Express handelt es sich ebenfalls um eine Open-Source-Firewall die, wie IPCop schon sehr alt ist und aktuell nicht mehr weiterentwickelt wird. Der Einsatz ist noch möglich, allerdings für den produktiven Betrieb weniger zu empfehlen. Für Test- und Entwicklungsumgebungen, oder für den temporären Einsatz kann es noch sinnvoll sein, auf die Firewall zu setzen.

Ufw - Uncomplicated Firewall in Ubuntu

In Linux lassen sich mit dem Paketfilter „iptables“ Firewalls betreiben. Ubuntu bietet mit UFW eine Erweiterung, die dabei hilft die Regeln einfacher zur konfigurieren. Dabei steht auch eine grafische Oberfläche zur Verfügung. Die Installation erfolgt in Ubuntu mit „sudo apt-get install ufw gufw“.

ConfigServer Security & Firewall (csf)

Bei ConfigServer Security & Firewall (csf) handelt es sich um eine SPI-Firewall für Linux, die ebenfalls schnell einsatzbereit ist.

(ID:46600497)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist