2008 - Eine Firewall mit VPN Router muss her.
Einen Windows 2003 Server stellt man nicht so einfach ins offene Internet. Selbst mit allen verfügbaren Service-Packs und Firewalls ist das nahzu Selbstmord. Vor den einen Win Server (oder die Serverfarm) muss eine Firewall, die abslut sicher erst mal alle unerwünschten Ports blockt und weiterhin eventuelle Einbruchsversuche protokolliert.
Zwei Wege führen nach Rom.
Es gibt fertige Firewalls incl. VPN Router, die diese Aufgaben übernehmen. Die Preise gehen von 100 Euro bis zu mehreren tausend Euro samt laufenden monatlichen Updatekosten. Wir haben mit einem Netgear FVS 318 angefangen und versucht, damit die gestellten Anforderungen zu realisieren.
Als Ergenis kam dabei raus, daß eine Netgear zu Netgear VPN Verbindung funktioniert. Andere Verbindungen verlangen erheblichen Aufwand bzw. wir haben sie nicht mal zufriedenstellend hin bekommen. Insbesondere die Fritzbox DSL 7170 (Telekom 701W) zu Netgear Verbindung, die ja angeblich funktionieren soll, hat mit einer im Netgear Router bereits funktionierenden Konfiguration nicht funktioniert.
Der von Netgear (zugekaufte) VPN Client für WIN2000 und WINXP (standalone)PCs greift tief in das 7-Layer Netzwerk System ein und hatte bei uns auf 3 PCs/Notebooks den Netware SPX/IXP Client zum erliegen gebracht und die Verbindung zum Exchange Server nahezu auf ein 10tel der normalen Geschwindigkeit reduziert. Das war und ist für uns untragbar.
Nach eingehender Beratung mit denen, die so etwas bereits am Laufen haben, sind wir zum freien Linux Konzept "IPcop" übergewechselt.
Das IPCop Konzept ist rigide.
Die IPCop Installations ISO CD (Version 1.4.20) können Sie sich runter laden (an verschiedenen Stellen im Internet) und es sind vertretbare etwa 55MB. Mit diesem CD Image brennen Sie sich eine CD und starten damit Ihren Server.
Wir haben einen Compaq DL360 Server mit 1 CPU und 256MB Ram ausgewählt. Handbuch und Eröffnungsbildschirm warnen ganz deutlich und unmißverständlich, daß Alles, aber auch Alles gelöscht wird, ohne Gnade. Also egal, wie groß oder klein die Platte ist, IPCop krallt sie sich und läßt keinen andern Zustand zu. Wir bezeichenn dieses Vorgehen als absolut sinnvoll, es soll ja eine Firewall werden, andere sind über die rigide Art sichtlich erschrocken bis sauer.
Und wirklich, IPcop formatiert die erste Platte von Anfang bis Ende und baut sich dort sein (restriktives) Linux System auf. Es geht schnell, erstaunlich schnell. Und IPcop hat viele Plattentreiber auf Vorrat, auch den Compaq Arrytreiber. Die dann kommende Menüführung hat große Buchstaben und ist ganz einfach und klar, alles in Deutsch (ausgewählt).
Wichtig zu wissen:
1. Ohne zwei getrennte Netzwerkkarten läßt sich IPcop gar nicht erst installieren !!!
2. Sie !! müssen !! DHCP erst mal aktivieren, sonst werden Sie nicht nach den Passwörtern gefragt. Ist scheinbar eine Macke im Install-Script. Ohne Passwörter startet das Linux zwar, aber es kommt niemand in das System mehr rein. Später können Sie DHCP wieder deaktivieren.
Aller Anfang ist schwer.
Man muß sich mit dem IPcop System anfreunden und es verstehen lernen. Sonst rennt man immer wieder an die Wand. Ein Vergleich der Web-Bedienoberfläche wie auch der Möglichkeiten fällt nicht gerade zugunsten der Netgear Systeme aus, eher das Gegenteil. Ganz wichtig für Teamarbeit (jedenfalls bei uns) ist der Mehrfachzugang per Web, beim Netgear kann immer nur einer als Admin rein.
IPCop kann anfänglich nur aus der sogenannten grünen Zone heraus administriert werden und zwar nur über das Webinterface per https, also per SSL. SSH über Putty oder winscp geht noch gar nicht.
Das wird sogleich über den Systembereich "SSH freigeben" aktiviert. Der SSH-Daemon wird auch sogleich gestartet und man kann mit winscp dort rein. Auch der https Zugang funktioniert erstmal nur über den Port 445 und der SSH Zugang ist nur über den Port 222 zu ereichen. Die Ports kann man später wieder verändern.
Sinnvoll: ein roter und ein grüner Bereich
Diese Software hat das GUI (grafisch user nterface) beim Namen genommen und unser (menschlisches) Denken und Wissen visualisiert. Rot ist nun mal gefährlich und grün weniger, eher ungefährlich.
Beide Bereiche sind durch die Firewall strikt nach Vorgabe getrennt. Und in allen Untermenüs wird auf diese Farben Bezug genommen. Es gibt noch eine gelben Bereich, den wir aber hier nicht brauchen.
uDer rote Bereich (RED) bekommt von uns eine der öffentlichen IP Nummern aus unserem Class C Netz. Der grüne Bereich hinter der Firewall könnte eigentlich beliebig nummeriert werden, bekommt aber bei uns ein (nicht routbares) 192.168.er Netz. Dort stehen unsere (unsichbaren) Windows Server.
Weitere Feinheiten :
Die Firewall bzw. der IPcop Router spricht mit den Servern (er fragt sie) im "grünen Bereich" immer im gleichen IP Netz mit seiner IP Nummer. Dann brauchen diese Server auch kein Gateway und können somit auch erstmal kein Unheil anrichten. Wenn sie gefragt werden, antworten Sie nur an den "Fragenden", den IPcop Router. Ein Nachteil vielleicht, auf diesen Servern kann nicht gesurft werden.
Die Server werden damit also so konfiguriert, daß sie nur Fragen des IPcop beantworten. Der IPcop jedoch braucht ein Gateway nach "draußen", denn von "draußen" kommen die http Anfragen rein.