Dank ADSL und Kabelinternet stehen in immer mehr Haushalten und Kleinbüros Router, die das lokale Netzwerk mit elementaren Netzwerkdiensten versorgen und es gleichzeitig vor etlichen Gefahren aus dem Internet schützen. Im Gegensatz zu den grossen Routern respektive Firewalls von Cisco und Juniper handelt es sich nicht um Sonderanfertigungen mit einem speziell entwickelten Betriebssystem, das auf speziell entwickelter Hardware läuft. Meist sind es kleine Embedded-Computer mit MIPS-, ARM- oder gar x86-Prozessor, auf denen ein Linux mit einem Web-Interface zur Konfiguration der verschiedenen Open-Source-Programme für Paketfilterung, DHCP und DNS läuft. Das Betriebssystem wird auf einem Stück Flash-Speicher abgelegt.
Bei der Pflege hapert es allerdings meist. Viele Hersteller hören bereits nach 1 bis 2 Jahren damit auf, neue Firmware-Versionen herauszugeben. Dies ist besonders wegen etwaiger Sicherheitslücken ärgerlich. Und bei den Features fehlen gerne einmal Möglichkeiten, die nicht nur etwas für Power-User sind. So ist ein lokaler DNS-Server zum Setzen einfacher Aliase für File-Server und andere Computer genauso praktisch wie Traffic Management respektive Shaping für VoIP-Vieltelefonierer.
Die einfachste Lösung zum Bau eines eigenen Routers ist die Verwendung eines ausgedienten Computers. Bereits Geräte mit Pentium-Prozessor und 64 MB RAM reichen für die meisten Bedürfnisse aus und müssen einfach mit der entsprechenden Menge Fast-Ethernet-Karten ausgerüstet werden, um als Router in Frage zu kommen. Minimum sind 2, die Mehrheit der Distributionen unterstützt aber bis zu deren 4, die als WAN-, DMZ-, WLAN- und LAN-Interface genutzt werden können. Die Anzahl der Benutzer und VPN-Verbindungen sowie der Datendurchsatz werden dabei einzig durch die Leistungsfähigkeit der Maschine begrenzt.
Die Installation der Software auf die Festplatte erfolgt meist ab CD, die von einem ISO-Image gebrannt werden kann. Andere Distributionen laden sich ab CD in den Speicher und sichern die Konfiguration auf einer Diskette oder einem USB-Stick. Eine Festplatte wird nicht benötigt. Wieder andere können direkt ab USB-Stick betrieben werden.
Zur Administration steht bei allen Lösungen in der Übersicht ein Webinterface zur Verfügung. Es ermöglicht die weitgehende bis vollständige Konfiguration der Software. Zur Kommandozeile muss man eigentlich nie greifen. Mit ihr wird man nur bei der Installation konfrontiert, wobei sie über ein Textinterface vergleichbar mit dem Debian-Installer gesteuert werden kann. So sollte jedem Anwender, der ein wenig von Netzwerken versteht, die Einrichtung gelingen.
Für die Aktualisierung der Software stehen Routinen bereit, die das Update über das Webinterface ermöglichen. Ebenfalls können dort Sicherungen der Konfiguration heruntergeladen oder wiederhergestellt werden.
Wer vom Stromverbrauch und der Grösse des Routers möglichst nah an die Geräte aus dem Handel kommen möchte, kann statt eines ausgedienten PCs auch einen Embedded-Computer verwenden. Bekannte Anbieter entsprechender Hardware sind die Schweizer PC Engines (www.pcengines.ch) und die US-amerikanische Soekris Engineering (www.soekris.com). Sie bieten Boards bestehend aus Embedded-Prozessor – meist ein Modell aus AMDs Geode-Linie –, aufgelötetem RAM, RS-232- und etlichen Fast-Ethernet-Ports an. Als Massenspeicher dient eine Compact-Flash-Karte, die über einen IDE-Socket angeschlossen wird. Mit Hilfe eines MiniPCI-Slots lassen sich sogar WLAN-Karten einsetzen, die – vorausgesetzt, sie sind mit dem richtigen Chip ausgestattet – sogar zur Bereitstellung eines Access Point dienen können.
Die Kosten für ein entsprechendes Board mit Gehäuse und Power-Adapter beginnen bei unter 200 Franken und können auch vom Stromverbrauch her, der in der Regel unter 10 Watt liegt, mit den Geräten aus dem Handel mithalten. Die Leistung reicht dabei problemlos für eine 100-Mbps-Verbindung aus, und dank Hardware-Unterstützung für Verschlüsselung, die beispielsweise in den Geode-LX-Prozessoren in Form des AES-Algorithmus enthalten ist, können sie auch als leistungsfähige VPN-Endpoints für mehrere gleichzeitige Anwender dienen.
Aus der Übersicht sind mit M0n0wall und dessen Klon
pfSense zwei Distributionen speziell auf die Unterstützung von Embedded-Computern ausgelegt. Zudem existieren Hobby-Projekte, die unter anderem Smoothwall für Embedded-Rechner anpassen.
Der Funktionsumfang der Produkte in unserer Marktübersicht ist recht unterschiedlich, obwohl alle fünf Distributionen auf zwei Projekte zurückgehen. So stammt pfSense ursprünglich von M0n0wall des Schweizers Manuel Kaspar ab, während IPCop und Endian Forks von Smoothwall sind.
Die Differenzen erklären sich durch die unterschiedliche Zielsetzung der Projekte. Während die Entwickler von M0n0wall ihre Software als reine Firewall-Lösung ansehen, ist Smoothwall als Komplettlösung für Perimeter-Sicherheit angelegt, die nebst Firewall-Funktionalität Schutz vor einer Vielzahl von Gefahren bieten soll. Entsprechend bringt sie unter anderem Funktionen zur Filterung von Web und Mail sowie zur Abwehr von Viren mit.
Das Einmaleins der Firewall/Router-Funktionalität beherrschen sie aber alle. So gehören Unterstützung für DMZ, Bandbreitenmanagement und die Eignung als VPN-Endpoint über IPSec bei allen Distributionen zum Standard-Repertoire. Einige können sogar mit dem von Cisco entwickelten PPTP umgehen. Ein Intrusion Detection System oder Unterstützung für SNMP findet man dagegen nicht überall.
Mit dem Standard-Umfang muss man sich aber nicht überall zufriedengeben. PfSense bringt ein eigenes Package-Management-Werkzeug mit, wodurch beliebige Software nachinstalliert werden kann. IPCop kennt sogar Add-ons, von denen eine grosse Auswahl für verschiedene Zwecke zum Download bereitsteht. Sie ermöglichen es unter anderem, IPCop mit Funktionen für Filtering und Virus-Abwehr auszustatten.
Appliance für Unternehmen
Nebst reinen Community-Projekten wie IPCop existieren auch solche, die von Firmen initiiert wurden respektive welche hervorgebracht haben. Diese unterstützen nicht nur die Entwicklung der Software, sondern bieten auch Support und speziell auf den Unternehmenseinsatz ausgelegte, vorgefertigte Appliances an. Beispiele dafür sind Smoothwall und Endian, deren Produkte nebst elementaren Netzwerkdiensten unter anderem auch Content-Filtering, E-Mail-Security, Virus-Abwehr und Load Balancing unterstützen. Sie unterscheiden sich sowohl in technischer Hinsicht als auch von ihren Fähigkeiten her kaum von den Produkten etablierter Anbieter aus dem Closed-Source-Bereich.
Fünf Open-Source-Distributionen für Eigenbau-Router/Firewalls
