In dieser neuen Serie geht es um den Aufbau einer eigenen Firewall. Geklärt werden soll unter anderem:

  • Was ist das?
  • Wofür brauche ich das?
  • Wie mache ich das?

Die ersten beiden Punkte sollen in diesem Artikel behandelt werden; zusätzlich wird es darum gehen, welche Hardware ich verwenden will. In späteren Artikeln dieser Serie wird es dann um die Installation sowie die Einrichtung gehen.

Auch das Monitoring, also die Überwachung, spielen eine Rolle. Also legen wir los!

 

Was ist eine Firewall?

Eine Firewall ist (sehr einfach ausgedrückt) eine Wand, an der das Feuer aus dem Internet abprallt. Da das alles virtuell abläuft, geht es hier nicht um richtiges Feuer, sondern um Netzwerkpakete. Die Firewall schirmt mein Netz gegen das Internet ab. „Mein Netz“ kann dabei alles vom einzelnen Rechner über ein kleines Familiennetz (Vaddis Notebook, Muddis Tablet und mein Gaming-PC) bis hin zum riesigen Firmennetzwerk sein. Alle Geräte in meinem Netz sollen ins Internet gelangen dürfen, aber andere Geräte aus dem Internet nicht zwingend in mein Netzwerk – nur weil ich nichts zu verbergen habe, heißt das nicht, dass ich automatisch alles über mich preisgeben will.

Mit einer Firewall wird verhindert, dass Rechner aus dem Internet in mein Netzwerk gelangen und auf die dort vorhandenen Geräte zugreifen. Soweit die Theorie – das kann jeder Router. Mit einer Firewall lässt sich nun noch etwas genauer definieren, wer (also welches Gerät) worauf zugreifen darf – und zwar in beide Richtungen. So ist es beispielsweise möglich, zu definieren, dass Muddis Tablet auf die Webseiten der Regenbogenpresse zugreifen soll und Vaddis Notebook nicht; auch lassen sich Pornoseiten für den Gaming-PC des Sohnemanns sperren (der dafür ja Vaddis Notebook nutzen kann). Genauso lässt sich aber auch der Zugriff aus dem Internet ins heimische Netzwerk regeln – es kann ja sein, dass z.B. eine Festplatte an die FritzBox angeschlossen ist, auf der die Urlaubsfotos liegen, auf die die Familie immer und überall zugreifen will. Ein stinknormaler Router kann so etwas nicht leisten. Nicht falsch verstehen: Die FritzBox (die in sehr vielen Haushalten den Internetzugang regelt) kann so etwas. Sie ist aber auch mehr als nur ein Router: Hier sind Firewall-Funktionen eingebaut.

 

Wofür brauche ich eine Firewall?

Das sollte bei der Beantwortung der ersten Frage schon klar geworden sein: Die Firewall dient dem Schutz der eigenen Rechner vor Zugriffen aus dem Internet. Es geht schlicht darum, dafür zu sorgen, dass nicht jeder (und damit meine ich jeden, der Zugang zum Internet hat) auf meine Rechner zugreift und dort Daten abgreift (auch wenn ich nichts zu verbergen habe, muss ich nicht alles von mir preisgeben), meine Hardware als Spamschleuder missbraucht oder zum Teil seines Botnetzes macht.

Die Funktion der Firewall (stark vereinfacht); zum Vergrößern klicken

Die Abbildung habe ich bewusst einfach gehalten; im weiteren Verlauf wird sie sicher noch etwas detaillierter werden… Letztendlich zeigt sie aber das, was jeder Internetnutzer erwarten dürfte: Aus dem eigenen Netz ins Internet funktioniert, aus dem Internet „nach Hause“ nicht. Genauso soll es sein.

Wenn ich darüber hinaus vielleicht eigene Dienste im Internet anbieten will (die Urlaubsfotos von eben sind das Letzte, was mir da einfallen würde), ist eine Firewall unerlässlich – schließlich will ich nur einen Dienst anbieten und nicht gleich mein ganzes Heimnetz öffentlich zugänglich machen…

 

Wie mache ich das?

Hier gibt es viele Möglichkeiten – von der FritzBox bis zur Clusterlösung mit hochverfügbaren Servern hinter mehreren Loadbalancern ist alles möglich. Für den Privatgebrauch (siehe oben, „Familiennetz“) genügt sicherlich eine FritzBox oder das vom Internetanbieter bereitgestellte Gerät. Große Unternehmen werden sicher auf Loadbalancer zurückgreifen, die die eingehenden Anfragen aus dem Internet an mehrere Geräte verteilen.

Kleinere Unternehmen oder ambitionierte Privatanwender werden einen Mittelweg wählen: Mehr als die FritzBox, aber weniger als das halbe Rechenzentrum. Da es Ärger mit der heimischen Regierung geben könnte, wenn ich ein Zimmer des Hauses als Rechenzentrum nutze, werde ich hier die Einrichtung eines Rechners als Firewall beschreiben. Eine Kleinigkeit muss ich allerdings zugeben: Ich habe mir nicht alles selbst ausgedacht – zumindest was die verwendete Hardware angeht, habe ich hier abgekupfert. Ich hoffe, das geht in Ordnung.

Da es sich hier um ein größeres Projekt handelt, wird noch nicht alles sofort komplett fertig sein. Wir fangen erstmal mit der Hardware an, dann geht’s an die Software. Danach folgt dann die Einrichtung der zusätzlichen Schmankerl – Port-Weiterleitung, Monitoring, DMZ, Traffic Shaping etc…

Im nächsten Teil werde ich kurz etwas zur Hardware sagen, bevor es dann an die Auswahl der Software und deren Installation geht.