IPCop

IPCop
EntwicklerIPCop-Team
Lizenz(en)GPL (Freie Software)
Erstveröff.2001
Akt. Version2.1.9 (23. Februar 2015)
AbstammungGNU/Linux
↳ Smoothwall
↳ IPCop (bis 1.3.0)
↳ Linux From Scratch
↳ IPCop (seit 1.4.0)
Architektur(en)IA-32
Sprache(n)mehrsprachig
SonstigesPreis: kostenlos

www.ipcop.org

IPCop war eine freie Linux-Distribution, die in erster Linie als Router und Firewall gedacht war. Darüber hinaus bot sie noch ausgewählte Server-Dienste an und konnte um zusätzliche Funktionen erweitert werden. IPCop basierte bis zur Version 1.3.0 auf der freien GPL-Version von Smoothwall, ab der Version 1.4.0 auf Linux From Scratch (kurz LFS). 2017 wurde das Ende der Entwicklung angekündigt.[1] Die letzte Version erschien 2015. Das Projekt ist Ende 2018 eingestellt worden.[2]
Mit IPFire und Endian Firewall gibt es zwei Abspaltungen von IPCop, die weiterentwickelt werden.

Server-Dienste

Der IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxyserver (Squid), einen DHCP-Server, einen Nameserver mit DNS-Caching (dnsmasq) sowie ein Intrusion Detection System (Snort) bereit. Weitere Funktionen wie Traffic-Shaping, VPN und Dynamic DNS sind vorhanden.

Systemvoraussetzungen

Die benötigte Rechenleistung des PCs richtet sich nach dem Einsatzbereich. Erforderlich sind 133 MHz mit 32 MByte RAM (besser 64 MByte). Es werden mindestens 2 Netzwerkkarten benötigt (PCI, PCMCIA, USB, ISA oder VL-Bus), eine für den Anschluss ans Internet (über DSL oder einen anderen Router), eine zum Anschluss ans LAN.

Die Rechenleistung bei privatem Gebrauch kann bereits ein 486er übernehmen, wenn man Squid und das Intrusion Detection System (IDS) abschaltet.

Schnittstellen

Firewall-Regeln der Schnittstellen

IPCop unterscheidet zwischen unterschiedlichen Netzwerken, die verschiedenfarbig dargestellt werden. Das grüne Netzwerk stellt das eigene LAN dar, das rote Netzwerk symbolisiert das „ungeschützte“ Internet. Ein eventuell vorhandenes WLAN wird durch die Farbe Blau symbolisiert, während orange die DMZ (Demilitarized Zone) darstellt. Diese wird für Server verwendet, die aus dem Internet erreichbar sein sollen (Webserver, FTP-Server etc.). Würde nun dieses Netzwerk erfolgreich angegriffen (kompromittiert), sind die anderen Netzwerke davon unabhängig geschützt.

Für jedes Netzwerk, das verwendet wird, wird eine eigene Netzwerkkarte mit IP-Adresse benötigt. Es ist nicht erforderlich, jedes Netzwerk zu verwenden. Ist kein WLAN vorhanden, existiert einfach kein blaues Netzwerk. Ist kein Webserver (o. ä.) vorhanden, wird keine DMZ, also kein oranges Netzwerk benötigt. Die Mindestausstattung mit einem roten und grünen Netzwerk kann durch Add-ons auf bis zu vier weitere Netzwerkkarten und damit Netze – unabhängig von blau und orange – erweitert werden. Jedes dieser Netze ist separat und durch die Firewall geschützt.

Web-Schnittstelle

Versionen (Auswahl)
VersionDatum
0.0.928. Dezember 2001
0.1.03. Januar 2002
0.1.122. Januar 2002
1.2.027. Dezember 2002
1.3.022. April 2003
1.4.01. Oktober 2004
1.4.530. März 2005
1.4.109. November 2005
1.4.1316. Januar 2007
1.4.181. Dezember 2007
1.4.2123. Juli 2008
2.0.023. September 2011
2.0.416. Februar 2012
2.0.628. Oktober 2012
2.1.48. April 2014
2.1.52. Mai 2014
2.1.628. Oktober 2014
2.1.728. Oktober 2014
2.1.825. Januar 2015
2.1.923. Februar 2015

Konfiguriert wird der IPCop über eine Webschnittstelle, zu erreichen über (vor Version 2.0.0) http://SERVERNAME:81/ oder über SSL auf https://SERVERNAME:445/ (Standardports - können bzw. sollen aus Sicherheitsgründen geändert werden, da 445 durch viele Provider mittlerweile blockiert wird), alternativ zum Servernamen auch über dessen IP-Adresse. Ab Version 2.0.0 ist der sichere Zugriff nicht mehr über Port 445, sondern (standardmäßig) nur noch über Port 8443 möglich.

Über dieses Web-Interface können dann Einstellungen wie Port-Weiterleitung, öffnen von Ports (externer Zugang), Proxy- und DHCP-Server, aber auch dynamisches DNS, Traffic-Shaping, IDS und Zeitserver (NTP) konfiguriert werden. Des Weiteren erhält man über die Webschnittstelle Zugriff auf die verschiedenen Log-Dateien und deren Auswertungen, die z. T. auch als Grafiken bereitgestellt werden.

Auf die Unix-Shell kann der Benutzer auch zugreifen, um tiefergehende Konfigurationen zu erstellen oder zu ändern. Der Zugriff erfolgt hierbei dann per SSH auf dem Port 8022. Sehr verbreitet und auch ohne Linux-Kenntnisse leicht nutzbar sind WinSCP und PuTTY.

Die Möglichkeiten des IPCop lassen sich über Add-Ons erweitern, wie z. B. mit einem URL-Filter, dem Open-VPN ZERINA oder einem Layer-7-Filter. Die Erweiterungen werden auf der offiziellen Website von IPCop veröffentlicht.

Sicherheitsaspekte

IPCop liefert mit der Basisinstallation viele Dienste und ist darüber hinaus mit Add-ons anpassbar. Doch hier wird ein Kompromiss zwischen Leistungs- bzw. Funktionsumfang und Sicherheit gemacht, da unter steigender Komplexität auch die Sicherheit leiden kann. Bereits mit der Grundinstallation wird ein für die Firewall-Funktionen nicht notwendiger Webserver sowie ein NTP-Server installiert, diese können für Angriffe ausgenutzt werden. Auch diverse Add-ons wie etwa Samba können zusätzliche Angriffsflächen schaffen.[3]

Die Zeitschrift c’t hatte 2005 im Rahmen eines Server-Projekts den c’t-Debian-Server[4] vorgestellt, in dem IPCop in User Mode Linux (UML), einer virtuellen Maschine unter einem umfangreich ausgestatteten Linux-Home-Server-System mit verschiedenen Netzwerkdiensten läuft. Dieses Vorgehen wird jedoch von vielen Fachleuten als unsicher eingestuft, da ein Angreifer die Kontrolle über den virtuellen Host übernehmen könnte.[5] In der aktuellen Version des Beispielservers wurden diese Risiken durch den Einsatz von Xen und zwei darauf basierenden virtuellen Servern verringert.[6]

In der neuesten Version fehlt die Unterstützung für IPv6.

LCD4Linux

LCD4Linux ist eine Erweiterung, die es ermöglicht, Informationen auf einem LC-Display oder einem VFD-Display, welches über die serielle Schnittstelle angeschlossen ist, anzeigen zu lassen.

Literatur

  • Marco Sondermann: IPCop kompakt: mehr Sicherheit für Ihr lokales Netz dank des freien Firewall-Systems. Bomots Verlag, 2008, ISBN 978-3-939316-41-1.

Weblinks

Einzelnachweise

  1. Abkündigung, Jack Beglinger auf ipcop user list, 6. Oktober 2017
  2. '[IPCop-user] The closing of IPCop.' - MARC. Abgerufen am 18. Januar 2019.
  3. Sicherheitslücke in Datei- und Druckserver Samba geschlossen, heise.de, 11. Dezember 2007
  4. c’t-Debian-Server aus Heft 04/2005 (Memento vom 11. Juni 2009 im Internet Archive)
  5. Artikel bei IPcop-Forum.de (Memento vom 27. September 2018 im Internet Archive)
  6. c’t-Debian-Server aus Heft 19/2008

Auf dieser Seite verwendete Medien

IPCop Logo.gif
Autor/Urheber: Tom Eichstaedt, Lizenz: GPL
IPCop (Firewall Linux distribution) logo
IPCop Traffic.png
Autor/Urheber: "zisoft" von http://www.ipcop-forum.de, Lizenz: CC BY-SA 3.0
Traffic-Beschreibung der Schnittstellen beim IPCop