Ipcop stellt bis zu vier Netzwerk Schnittstellen zur Verfügung: ROT, GRÜN, BLAU und ORANGE.
Dieses Netzwerk stellt das Internet oder jedes andere nicht vertrauenswürdige Netzwerk dar. IPCop's hauptsächliche Aufgabe besteht darin, das GRÜNE, BLAUE und ORANGENE Netzwerk und deren angeschlossene Computer vor Zugriffen aus dem nicht vertrauenswürdigen ROTEN Netzwerkbereich zu schützen.
Dieses Netzwerk stellt den hauptsächlich zu schützenden lokalen Netzwerkbereich dar. Jeder Verkehr zu diesem Netzwerkbereich wird über eine Ethernet Netzwerkkarte, die im IPCop PC eingebaut ist, geroutet.
Dieses optionale Netzwerk erlaubt das Betreiben von WLAN-Geräten in einem separaten Netzwerkbereich. Computer in diesem Netzwerk haben standardmäßig keinen Zugriff auf die Computer im GRÜNEN Netz. Dies kann jedoch durch sog. “pinholes” oder das Einrichten eines VPN realisiert werden. Jeder Verkehr zu diesem Netzwerkbereich wird über eine Ethernet Netzwerkkarte, die im IPCop PC eingebaut ist, geroutet.
Dieses optionale Netzwerk erlaubt das Betreiben von öffentlich erreichbaren Servern in einem seperaten Netzwerkbereich. Computer in diesem Netzwerk haben standardmäßig keinen Zugriff auf die Computer im GRÜNEN oder BLAUEN Netz. Dies kann jedoch durch sog. “DMZ pinholes” realisiert werden. Jeder Verkehr zu diesem Netzwerkbereich wird über eine Ethernet Netzwerkkarte, die im IPCop PC eingebaut ist, geroutet.
Die Firewall benötigt mindestens eine Ethernet Netzwerkkarte (NIC) mit Ethernet Netzwerkkabel. Je nach Netzwerkkonfiguration und Anbindung ans Internet, werden bis zu vier NICs benötigt.
Alle NICs müssen verschiedene physikalische Karten sein (oder deren Äquivalent falls Multiportkarten benutzt werden).
Die ROTE Schnittstelle momentan ausser acht lassend, müssen für jedes GRÜNE, ORANGENE und BLAUE Netz separate NICs eingebaut und angeschlossen werden. Das GRÜNE und ROTE Netz sind obligatorisch. Das ORANGENE und BLAUE Netz sind optional. Die Anforderungen an die ROTE Schnittstelle hängen von der Verbindung zum Internet ab.
Das obige Diagramm zeigt, dass Sie, anders als beim ROTEN Netz, für jedes Netz eine Ethernet Netzwerkkarte benötigen. Wenn Sie derzeit eine Ethernet Verbindung verwenden, um sich mit dem Internet zu verbinden, dann benötigen Sie auch für die ROTE Schnittstelle eine Ethernet Netzwerkkarte. Die Netze benötigend zwingend verschiedene Netzwerkadressbereiche.
![[Anmerkung]](images/note.png) | Anmerkung |
|---|---|
Die ORANGENE und BLAUE Schnittstelle sind optional. |
Das Sicherheitsmodell von IPCop vertraut dem GRÜNEN Netzwerk ohne Einschränkungen, egal ob die Anfragen von einem User oder von Viren, Trojanern oder sonstiger Schadsoftware verursacht werden. Beide werden gleichberechtigt behandelt und von IPCop zugelassen.
Ein neues Feature von IPCop 1.4.0 erlaubt jedoch das Einschalten der Einbruchsdetektierung (Intrusion detection system - IDS) für jeden Netzwerkbereich. Es kann nicht schaden von Zeit zu Zeit einen Blick in die IDS-Logs zu werfen, um herauszufinden, ob sich ein Rechner "merkwürdig" verhält. Dies könnte dann ein Hinweis auf einen verseuchten PC sein.
Vertrauenswürdigkeit der IPCop Netze nach Farben sortiert (geringste Vertrauenswürdigkeit zuerst):
ROT -> ORANGE -> BLAU -> GRÜN
Die Basiskonfiguration (Minimalkonfiguration) ist ROT/GRÜN, bei der IPCop ein einzelnes Netz vor dem Internet schützt. Sollte ein Wireless Access Point zum Einsatz kommen, so kann dieser an die BLAUE Schnittstelle angeschlossen werden. IPCop können Sie dann so konfiguriert werden, dass der Zugriff auf Ihre WLAN PCs eingeschränkt wird. Sollten Server eingesetzt werden, die Zugriff auf das Internet benötigen oder Dienste im Internet anbieten, sollten diese an die ORANGE Schnittstelle (auch DMZ - "Demilitarisierte Zone") angeschlossen werden.
Da die ROTE Schnittstelle entweder per Modem (z.B. USB-DSL-Modem) oder per Ethernet (externes ADSL-Modem oder HW-Router) mit dem Internet verbunden wird, ergeben sich acht verschiedene Typen der Netzwerkkonfiguration:
GRÜN (ROT ist Modem/ISDN)
GRÜN + ROT (ROT ist Ethernet)
GRÜN + ORANGE + ROT (ROT ist Ethernet)
GRÜN + ORANGE (ROT ist Modem/ISDN)
GRÜN + BLAU + ROT (ROT ist Ethernet)
GRÜN + BLAU (ROT ist Modem/ISDN)
GRÜN + BLAU + ORANGE + RED (ROT ist Ethernet)
GRÜN + BLAU + ORANGE (ROT ist Modem/ISDN)
Wie wird die Verbindung mit dem Internet derzeit aufgebaut?
Sollte die Verbindung mittels eines externen Breitbandmodems oder Routers hergestellt werden, werden diese wahrscheinlich mittels einer Ethernet-Netzwerkkarte verbunden. Egal wie, eine gleichartige Karte sollte auch im IPCop PC eingebaut sein. Sollte die Verbindung jedoch über ein internes Analogmodem, ISDN-Karte oder ein USB-DSL-Modem aufgebaut werden, so sollten diese in den IPCop PC "umziehen". Bei Nutzung eines externen Analogmodems sollten Sie dieses an den IPCop Rechner anschliessen.
Diese Hardware wird dann zukünftig als ROTE Netzwerkschnittstelle verwendet.
Einige Schlüsselparameter sollten notiert werden.
Wie wird derzeit die IP-Adresse zugeordnet? Statisch, per DHCP-Zuweisung, PPPOE oder PPTP?
Sollte die IP-Adresse mittels DHCP-Zuweisung erfolgen, sollte überprüft werden, ob das System einen Hostnamen bekommen hat, der an den DHCP-Server des Providers gesendet werden muss (s.u. Überprüfung des DHCP-Hostnames).
Welche Name Server Adressen (DNS) werden derzeit verwendet? Es kann möglich sein, dass der ISP diese automatisch während der Einwahl vergibt oder dass diese Adressen manuell eingegeben werden müssen.
Sollten Sie nicht wissen, ob der ISP einen DHCP-Hostnamen bei der Anmeldung benötigt oder dieser unbekannt ist, dann hilft Ihnen evtl. das Informationspaket des ISP oder dessen Support-Hotline weiter. Sollten Sie dort keine Information erhalten, so könnte folgendes helfen. Tippen Sie:
#ifconfig -a
an der Konsole eines *nix Betriebssystems und schauen Sie Ihre IP-Adresse an der eth0-Schnittstelle nach. Unter Windows 95, 98, ME heisst der Befehl:
winipcfgDiesen am command prompt (Eingabeaufforderung) eingeben. Unter Windows NT, 2000 oder XP heisst der Befehl:
ipconfig /allIn jedem Fall sollten Sie nun die IP-Adresse notieren und dann ein:
#nslookup nnn.nnn.nnn.nnn
eingeben, wobei nnn.nnn.nnn.nnn die notierte IP-Adresse darstellt. Aus der darauf folgenden Ausgabe sollten Sie den kompletten Hostnamen (host name) notieren. Der erste Teil sollte der DHCP-Hostname sein; der letzte Teil sollte zur Konfiguration des IPCop DHCP-Servers verwendet werden.
Entscheiden Sie welchen GRÜNEN (oder lokalen) IP-Adressbereich Sie verwenden möchten. Dies ist nicht die IP-Adresse, die Sie evtl. von Ihrem Provider bekommen haben. Adressen aus diesem Adressbereich werden niemals im Internet sichbar sein. IPCop nutzt eine Technik names "Port Adress Translation (PAT)", um Ihre GRÜNEN Rechner vor dem Internet zu verbergen. Um sicherzugehen, dass kein IP-Adressenskonflikt entsteht, sollten Sie einen im RFC1918 als privat (nicht routbaren) IP-Adressbereich verwenden. Es gibt mehr als 65.000 dieser IP-Adressbereiche aus denen Sie frei wählen können. Eine Liste über die verfügbaren IP-Adressbereiche finden Sie in Kurzeinführung in die Heimvernetzung. Ein gängiger IP-Adressbereich ist z.B. 192.168.1.xxx. Dies erlaubt IPCop über 250 Computer zu verwalten. Normalerweise werden Firewalls oder Router am Anfang oder am Ende dieses IP-Adressbereichs adressiert. Wir empfehlen die 192.168.1.1 als IP-Adresse für die GRÜNE Netzwerk-Schnittstelle zu wählen. IPCop wird die subnetmask automatisch anhand der gewählten IP-Adresse einsetzen, die Sie bei Bedarf ändern können.
Sollten Sie zusätzlich die BLAUE oder ORANGENE Schnittstelle verwenden wollen, so wählen Sie bitte einen unterschiedlichen IP-Adressbereich für diese Netze. Zum Beispiel: BLAU 192.168.2.xxx und ORANGE 192.168.3.xxx. Dies erlaubt die Verwaltung von über 250 Computern an jeder dieser Schnittstellen.