Jo's Linux Firewall Howto: Linux

Warum um alles in der Welt eigentlich Linux?

Warum nicht? Es muß ja nicht immer Windows sein.

Nun, wenn man schon einen extra Rechner für den Zugriff auf's Internet hinstellt, dann sollte wenigstens die Software kostenlos sein, also kommt kein Windows in Frage. Oder wer will ein stabiles, zuverlässiges System mit geklauter Software aufbauen? Unter Windows benötigt man nämlich neben dem Betriebssystem auch diverse weitere Software, um das gesamte System aufzubauen. Bei Linux ist die gesamte Software gleich mit dabei! (Die meisten hier benötigten Funktionen sind nämlich normaler Bestandteil eines jeden Unix-Systems).

Auf einer Firewall sollte so wenig Software wie möglich installiert sein. Das ist mit Linux möglich, da ich mir das System exakt so zusammenstellen kann, wie ich es brauche

Außerdem ist es bei einem solchen System nützlich, wenn es stabil arbeitet, denn wenn es beim Surfen abstürzt, dann zieht das ggf. gleich mehrere Anwender mit runter. Also ein Grund mehr, diese Aufgabe keinem Windows anzuvertrauen.

Nicht zuletzt benötigt man doch einiges an Dokumentation über das Betriebssystem und die Software, womit Windows endgültig ausscheidet. (Oder kann mir jemand eine Quelle nennen, in der alle Befehle der Batch-Sprache von NT 4.0 aufgeführt sind? Ich suche sie jetzt seit Jahren vergeblich!)

Ja aber, die ganzen Einstellungen, das ist doch unter Windows viel einfacher? Nunja, für jemanden, der bereits unter NT einen Router und einen Internetzugang aufgesetzt hat, bestimmt. Aber für 1 normalen Windows-Anwender ist das vermutlich alles Neuland. Und da erscheint mir ein sauber strukturiertes System, das alle Kompomenten bereits mitbringt, weil alle hier benötigten Dinge normaler Bestandteil eines Unix-Systems sind, erheblich einfacher.

Nicht zuletzt auch der Spaß und das Interesse, etwas neues kennen zu lernen und den eigenen Horizont zu erweitern.

Weitere Informationen zu Linux allgemein: Linux.de.

Warum nicht Windows?

Weil eine Firewall die Sicherheit erhöhen soll und nicht verringern. Das klingt hart, ist aber so, denn Microsoft Windows erfüllt keine der Anforderungen, die an eine Firewall-Software zu stellen sind:

• Minimale Software

  Jedes zusätzliche Stück Software kann Fehler enthalten. Deshalb sollte auf einer Firewall keine unnötige Software installiert sein, denn diese erhöht die Komplexität des Systems und kann die Sicherheit kompromittieren.

  Bei Windows kann man nicht einmal den Internet Explorer deinstallieren, da dieser ins Betriebssystem integriert ist. Auch eine grafische Benutzeroberfläche hat auf einer Firewall nichts zu suchen. Man schleppt also immer einen Berg an überflüssigen, fehlerhaltigen Modulen mit sich herum, die die Sicherheit unnötig reduzieren.

• Vollständige Dokumentation

  Ohne vollständige Dokumentation kann man kein sicheres System konfigurieren. Wenn nicht alle Einstellmöglichkeiten zu einem Modul bekannt sind und seine Funktion nicht vollständig dokumentiert ist, kann man nicht sicherstellen, daß dieses Modul nichts unerwünschtes tut.

  Bei Windows gibt es nicht einmal eine vollständige Dokumentation der Registry-Schlüssel zu den Basismodulen. Auch bei weiterer Dokumentation sieht es recht schlecht aus. Teilweise ist diese auch für viel Geld nicht zu bekommen.

• Überprüfbarkeit der Quelltexte

  Selbst wenn man es nicht unbedingt durchführen will, es sollte möglich sein, die Quelltexte (source code) des Betriebssystems auf Fehler oder gar Hintertüren zu überprüfen.

  Das Microsoft seine Windows Quelltexte auch nicht großen Firmen, Regierungen oder Gerichten zur Verfügung stellt, ist inzwischen allgemein bekannt.

• Korrekturmöglichkeit für Fehler

  Natürlich sollte der Hersteller einer Software bei entdeckten Fehlern schnell Abhilfe schaffen. Zur Not sollte man diese(n) Fehler aber auch selbst beseitigen (lassen) können.

  Da es von Windows keine Quelltexte gibt, ist man bei Fehlerbeseitigungen auf die Gnade von Microsoft angewiesen. Leider wiegt MS die Anwender mit seinen Sicherheitsupdates gern in falscher Sicherheit, da diese üblicherweise nicht alle zu diesem Zeitpunkt bekannten Lücken beseitigen.

Dazu kommt einer weiterer Punkt, der nicht die Schuld von Microsoft ist: Wenn das zu schützende Netzwerk im wesentlichen aus Windows-Rechnern besteht, ist es sinnvoll auf der Firewall ein anderes Betriebssystem einzusetzen. Wer dann eindringen will, muß die Lücken von mindestens 2 Systemen kennen um erfolgreich zu sein.

Weiter mit: Die SuSE-Distribution.

Urheber © Dr. Joachim Wiesemann

Letzte Aktualisierung: 4.12.2022