IPCop

IPCop existierte als freie Linux-Distribution bis Ende 2018 und fungiert als Firewall und Router.

Darüber lassen sich über IPCop ausgewählte Server-Dienste nutzen, auch ist die Erweiterung um zusätzliche Funktionen möglich.

Bis zur 1.3.0 Version basierte IPCop auf Smoothwall in der freien GPL-Version, ab 1.4.0 auf LFS (Linux From Scratch). Das Ende der IPCop Entwicklung wurde schon 2017 angekündigt, 2015 war die letzte Version erschienen.

IPCop Server-Dienste

Direkt nach seiner Installation bietet IPCop eine funktionierende Firewall, einen Router, den Proxyserver Squid und einen DHCP-Server, des Weiteren den Caching-Nameserver dnsmasq und das Intrusion Detection System (IDS) Snort. Zu den weiteren Funktionen gehören VPN, Traffic-Shaping und Dynamic DNS. Die Systemvoraussetzungen sind:

  • Prozessor mit 133 MHz
  • 32 (noch besser 64) MByte RAM
  • mindestens zwei Netzwerkkarten (PCI, USB, PCMCIA, ISA oder VL-Bus) für DSL und LAN

Bei privatem Gebrauch genügt die Rechenleistung eines 486er PCs, wenn der Nutzer das IDS und Squid abschaltet. Unterschieden werden bei IPCop unterschiedliche Netzwerke durch verschiedene Farben. Grün wird das eigene LAN dargestellt, rot das ungeschützte Internet, blau das WLAN (falls vorhanden), orangefarben die Demilitarized Zone (DMZ). Sie dient der Verbindung zu Servern, die online erreichbar sein sollen (FTP- oder Webserver). Wenn dieses Netzwerk kompromittiert wird, bleiben die anderen Netzwerke dennoch geschützt. Die verwendeten Netzwerke benötigen jeweils eine eigene Netzwerkkarte inklusive IP-Adresse, doch der Nutzer muss nicht jedes Netzwerk verwenden. Die Mindestausstattung besteht aus dem grünen und dem roten Netzwerk, die Erweiterung auf zusätzliche Netzwerke geschieht durch Add-ons. Jedes Netzwerk wird separat durch eine Firewall geschützt.

Konfiguration von IPCop

Die Konfiguration erfolgt über eine Webschnittstelle, ab Version 2.0.0 wird dazu standardmäßig Port 8443 verwendet. Über das Web-Interface lassen sich Einstellungen wie das Öffnen von Ports, die Port-Weiterleitung, DHCP- und Proxy-Server, dynamisches DNS, IDS, Traffic-Shaping und Zeitserver (NTP) konfigurieren. Außerdem bietet die Webschnittstelle den Zugriff auf Log-Dateien inklusive ihrer Auswertungen, die teilweise als Grafiken abgerufen werden können. Zudem hat der Nutzer Zugriff auf die Unix-Shell, die noch tiefere Konfigurationen bzw. deren Änderung ermöglicht. Dieser Zugriff erfolgt per SSH auf Port 8022. WinSCP und PuTTY sind sehr verbreitet, diese Funktionen sind auch ohne Linux-Kenntnisse relativ leicht nutzbar. Add-Ons bieten für den IPCop zum Beispiel einen URL- und einen Layer-7-Filter oder das Open-VPN ZERINA. Sicherheitsaspekte

Viele Dienste von IPCop sind schon in der Basisversion erhalten, die Add-ons bieten darüber hinaus sehr interessante Anpassungen. Allerdings ist dann ein Kompromiss zwischen Sicherheit und Leistungs- bzw. Funktionsumfang nötig: Mit steigender Komplexität entstehen sicherheitskritische Probleme. Schon in der Grundinstallation sind ein Web- und ein NTP-Server enthalten, die für die Firewall-Funktionen eigentlich nicht nötig sind und potenzielle Angriffspunkte darstellen. Die Add-ons – darunter Samba – schaffen möglicherweise zusätzliche Angriffsflächen. IPCop eignet sich prinzipiell für das UML (User Mode Linux) Home-Server-System, doch die Konstellation gilt Fachleuten als unsicher. Ein Angreifer könnte den virtuellen Host relativ leicht übernehmen. Xen und darauf basierende virtuelle Servern können dieses Risiko verringern. Die letzte IPCop-Version unterstützte nicht mehr IPv6, auch das galt als kritisch.

Nachfolger & Alternativen zu IPCop

IPCop wurde eingestellt, jedoch gab es zwei immer noch existierende Aspaltungen bzw. Nachfolger: Endian Firewall und IPFire. Beide werden weiterentwickelt.

  • Endian Firewall: Diese Linux-Distribution von Endian aus Südtirol ist spezialisiert auf Firewall-, Router- und Gateway-Sicherheit. Es gibt die Endian Firewall als freie Software ohne großen Support, als kommerzielle Software (garantierte Supportleistungen) und als Appliance (komplett als Hardware installiert) mit Support. Es handelt sich um eine fertige Linux Security Distribution und ein UTM (Unified Threat Management = vereinheitlichte, eigenständige Sicherheitsmanagements-Lösung). Die Basis ist das abgesicherte Linux-Betriebssystem. Mithilfe einer Boot-CD installieren die Nutzer das System auf ihrem PC. Die Installation beginnt nach wenigen Grundeinstellungen. Dabei wird die Festplatte partitioniert, dann erfolgt das Überspielen der Dateien.
    Der Rechner kann danach auch headless (ohne Monitor und Tastatur) betrieben werden. Die komplette Konfiguration erfolgt über eine Webschnittstelle durch einen anderen Computer, der vorherige Rechner ist nun der Server. Er kann ins Netzwerk integriert werden, doch es lässt sich auch über eine serielle Schnittstelle darauf zugreifen. Die Endian Firewall fungiert hauptsächlich als Router, Gateway, Firewall und Proxy für E-Mail, Web, FTP, DNS und SIP. Endian kann wie IPCop ein rotes, grünes, orangefarbenes und blaues Netz verwalten, wofür wiederum je eine Netzwerkkarte erforderlich ist.
  • IPFire: Diese freie Linux-Distribution fungiert vorrangig als Firewall und Router. Die Konfiguration erfolgt über eine Webmanagementkonsole. Auch ausgewählte Server-Dienste stehen über die Distribution zur Verfügung, sodass eine relativ bequeme Erweiterung zum SOHO-Server möglich ist. Die Basis von IPFire ist Linux From Scratch. Seit 2015 gehört das IPFire Projekt zum Open Invention Network.
    Sein Baukastenprinzip ermöglicht es Nutzern, ein System nach eigenen Bedürfnissen zu schaffen. Privatanwender könnten sich ein kleines System einrichten, das sogar auf Intel Pentium Rechnern der ersten Generation läuft, doch ebenso ist ein modernes SOHO-Mehrprozessorsystem möglich. Die alternative Installation wäre sogar auf einem USB-Stick denkbar. Die benötigte Rechenleistung richtet sich daher vollkommen nach dem Einsatzbereich. Es können wie bei IPCop Add-Ons für Erweiterungen genutzt werden. Als Systemvoraussetzungen gelten ein i586 mit mindestens 1 GHz Takt, zwei Netzwerkkarten und 1 GB Hauptspeicher.

Weitere mögliche Alternativen zu IPCop sind:

  • Tiny Personal Firewall (Windows, 100 % kostenlos)
  • NetPeeker (Windows, 100 % kostenlos)
  • gateProtect (100 % kostenlos)
  • Sunbelt Personal Firewall (Windows, 100 % kostenlos)
  • Sygate Personal Firewall (Windows, 100 % kostenlos)
  • Windows Firewall (100 % kostenlos)
  • Norman Personal Firewall (Windows, kostenpflichtig)
  • ipTables (LinuxMac, 100 % kostenlos)

Download

IPCop kann nach wie vor hier gedownloadet werden: https://sourceforge.net/projects/ipcop/