Architektur des LinuxWall

 

  LinuxWall besteht aus einem speziell konfigurierten Linux-System :

• Linux-Kern speziell für Firewalling konfiguriert
• Login nur auf Konsole möglich, nur Benutzer root
• nur Dienstprogramme, die unbedingt zum Betrieb des Firewall nötig sind
• kein Netzwerk-Login auf Firewall möglich
• nur definierte Netzwerkdienste auf dem Firewall selbst (SMTP, HTTP, HTTPS)
• schreibgeschütztes root- und etc-Filesystem
• Firewall-Anwendung

LinuxWall wird von CD auf einen Rechner aufgespielt, es setzt keine Distribution voraus sondern ist quasi eine eigene Distribution.
Alternativ kann LinuxWall zu Demonstrationszwecken komplett im RAM laufen. Dies setzt mindestens 128 MB Hauptspeicher voraus. Auch kann LinuxWall als Live-CD installiert werden, sodass keine Festplatte benötigt wird (mind. 64 MB Hauptspeicher).

Hardware

Als Minimalausstattung wird folgende Konfiguration empfohlen

• Pentium oder kompatibler Prozessor
• 64 MB RAM, besser 128 MB
• 500 MB Platte,  (E)IDE oder SCSI
• Diskettenlaufwerk
• CDROM-Laufwerk SCSI oder ATAPI

Alle sonstigen Hardwarekomponenten (also insbesondere Netzwerkschnittstellen) sind im Kern als Module vorhanden. Es wurde jedoch nur eine begrenzte Auswahl mit LinuxWall getestet. Stellen Sie deshalb sicher, daß die Hardwarekomponente, die Sie verwenden wollen, mit der Linux-Version harmoniert. Zum Test können Sie die (kostenlose) Demo-CD benutzen. Nähere Informationen zur Lauffähigkeit und Einstellungen von Hardwarekomponenten erhalten Sie außerdem von den Herstellern, aus den Newsgruppen im Usenet, den Kernel-Mailing-Listen und von den Linux-Distributoren.
 

Linux-Kern

Derzeit wird die Linux-Version 2.4.7 eingesetzt. Da der Test einer neuen Kernel-Version sehr aufwendig ist, wird auch in Zukunft nicht jede neue Version als Update zur Verfügung stehen. Nur wenn signifikante Verbesserungen für den Firewall zu erwarten sind und nachdem in den einschlägigen Linux-Mailing-Listen die Probleme bekannt und behoben sind, wird eine neue Version erstellt werden. Durch intensive Tests wird diese aber erst auch mit einem Zeitversatz zur Verfügung stehen. Ausnahmen bilden hier bekanntgewordene Sicherheitslücken.

Die Konfiguration wurde wie oben erwähnt bereits so gut wie möglich modularisiert. Ein Firewallsystem enthält damit immer nur die Treiber im Hauptspeicher, die tatsächlich auch benötigt werden.

Firewall-Anwendung

Beim Booten startet die Firewall-Anwendung automatisch. Die Konfigurationsdateien werden ausgewertet und damit Netzwerkkarten initialisiert, Tunnel (VPN) geschaltet, Routen gesetzt, Paketfilterregeln ausgeführt, Parameter im /proc-Dateisystem geändert und Proxies gestartet.  Nach dem Boot-Vorgang sind nur die Proxy-Prozesse aktive Komponenten.

Periodisch werden aus der Firewall-Anwendung die Log-Dateien an konfigurierbare Mail-Adressen übertragen und anschließend gelöscht. Virenwarnungen werden ebenfalls per Mail verschickt.

Shell

Eine Anmeldung am Firewall ist zu dessen Betrieb nicht nötig. Es lassen sich alle vorhandenen Dienstprogramme starten, insbesondere kann man neue Einstellungen testen, bevor sie in die Konfigurationsdateien eingetragen werden. Aus Sicherheitsgünden wird es in zukünftigen Versionen möglich, daß sich die Anmeldungsprozedur verändert, eine eingeschränkte Shell zur Verfügung gestellt wird oder auch ganz verschwindet. Der physische Zugang zu einem Firewall ist ohnehin hochgradig sicherheitskritisch, so daß ein Login, das nur an der Konsole möglich ist, per se kein zusätzliches Sicherheitsloch mehr darstellt.