Heutzutage möchten viele ihren eigenen Web- oder Mailserver selbst betreiben. Viele tun dies auch schon fleißig und haben dazu einen Server in ihrem LAN stehen.

Hierfür haben sie oftmals in ihrem Router bei der Einstellung DMZ den Rechner eingetragen, der bei ihnen als Server fungiert. Achtung: Hier besteht ein als Sehr hoch einzustufendes Sicherheitsrisiko. Die Router verwenden fälschlicherweise den Begriff DMZ. In Wirklichkeit handelt es sich um einen sogenannten „Exposed Host“. An diesen Host werden alle Pakete weitergeleitet, die vom Internet kommen und von NAT nicht ausgewertet werden können. Man bezeichnet dies auch gern als „Pseudo DMZ“. Da sich der Exposed Host im eigenen LAN und somit im selben Netz befindet, können Angreifer sehr schnell in das LAN vordringen und viele Informationen über ihre Netzstruktur sammeln. Bevorzugte Ziele von Angriffen sind Rechner, die einen Dienst im Netz anbieten, so z.B. Webserver. Hat ein Angreifer ihren Webserver gehackt, dann wäre es fatal käme er jetzt auch noch in ihr LAN. Deshalb benötigen wir eine „Protected DMZ“. Das heißt nicht, dass jetzt nicht mehr ihr Server angegriffen werden kann, nein, aber, mit einer Protected DMZ ist es dem Angreifer unmöglich, ein Zugriff von der DMZ in das LAN zu erhalten. Schlimmstenfalls kann unser Server unbrauchbar gemacht werden, da wir aber vom Server eine Sicherung besitzen, spielen wir diese zurück und empfinden diese Aktion höchstens noch als lästig. Wichtig: Wir besitzen doch eine Sicherung unseres Servers?

Um nun zu einer wahren DMZ zu gelangen, bauen wir uns ganz einfach, einen eigenen Router mit Firewall. Wir nehmen einen alten PC, den man meistens irgendwo noch rumzustehen hat, eine einfache Grafikkarte, CD-Rom Laufwerk und eine kleine alte Festplatte reichen aus. In diesen PC verbauen wir drei Netzwerkkarten. Wenn ihr über ein DSL Modem ins Internet geht wunderbar, falls ihr einen Router verwendet so müsst ihr diesen später in den BRIDGE-Mode versetzen.

Als Betriebssystem verwenden wir IPCop. Dies ist ein gehärtetes (dediziertes) Betriebssystem welches speziell für unsere Bedürfnisse ausgerichtet ist. Routing plus Sicherheit. Laden sie die aktuelle Version herunter bei http://www.ipcop.org/ die zurzeit aktuelle Version ist die Version 1.4.21. Brennen sie diese auf CD und installieren sie es auf dem PC. Achtung: Das Betriebssystem löscht alle Daten auf der Festplatte. Eine Top Anleitung zum Bau eines eigenen IPCop Firewall Routers bietet euch die Seite http://www.tomshardware.de/internet-router-eigenbau,testberichte-1330.html. Geht diese Anleitung Schritt für Schritt durch. Verwendet die Netzwerkkonfiguration GREEN- ORANGE -RED. Red bedeutet das Interface für das Internet(Modem), GREEN ist das eigene LAN und ORANGE ist für die DMZ. Wir sehen, jetzt schon die physikalische Trennung der einzelnen Segmente. Damit wir sie auch noch logisch trennen, erhält die Netzwerkkarte für die DMZ eine IP aus einem anderen Netz z.B. 10.0.0.1/24. Die 24er Subnetzmaske könnt ihr beibehalten, also 255.255.255.0. Dem Server gebt ihr an seinem Netzwerkadapter eine feste IP aus diesem Bereich, z.B. 10.0.0.50/24, als Gateway tragt ihr die IP ein, die ihr am Router vergeben habt, in unserem Bespiel die 10.0.0.1/24. WICHTIG: Ihr müsst die DNS Server eures ISPs in die Konfiguration eures Netzwerkadapters am Server selbst eintragen.

Dem Grünen Interface gebt ihr z.B. die IP Adresse 192.168.100.1/24. Nun könnt ihr von einem beliebigen Rechner im LAN aus, auf die Konfigurationsoberfläche eures IPCop mithilfe einer Weboberfläche zugreifen. Gebt dazu im Adressfeld eures Browsers http:// IP 192.168.100.1:445 ein. Damit eure Server vom Internet aus, auch zu erreichen sind, müsst ihr noch Portweiterleitungen für die entsprechenden Dienste einrichten.

IPCop, mit seinem restriktiven Regelwerk, verhindert nun sämtliche Zugriffe von der DMZ auf das LAN. Achtung es funktioniert auch kein Ping in diese Richtung. Da das Betriebssystem ja unter die GPL fällt, haben wir, bei wenig bis gar keinen Kosten, einen Großen Schritt in Richtung Sicherheit des eigenen LAN gemacht.

Wenn der IPCop einmal läuft könnt ihr Tastatur, Monitor und CD-Rom abklemmen, stellt aber im BIOS noch bei Halt on Errors: No Errors ein, da das System ohne Tastatur sonst nicht booten würde.

Ebenfalls sehr gute Anleitungen und Tutorial zu IPCop findet ihr auf diesen Seiten

http://ipcop.gutzeit.ch/tutorialsinfos/1-basis-setup/ .

Sehr zu empfehlen ist auch die Installationsanleitung im Forum von IPCop

http://www.ipcop-forum.de/quickstart.php.

Probleme oder Fragen? Wir helfen gerne über unsere 24h Hotline: 0171 22 77 77 3.