Die Linux Security Box von Ralf Spenneberg wird als "Komplettpaket zu Firewalling und Intrusion Detection & Prevention" beworben, und dem kann ich nur zustimmen. Die Box besteht aus zwei Bänden. Der Firewall widmet sich der Band "Linux-Firewalls mit iptables & Co.". Dieser Band beginnt mit einigen Firewall-Grundlagen, gefolgt von einer kurzen, aber durchaus ausreichenden Beschreibung der Angriffsmethoden. Sehr gut, so weiß der Leser wenigstens, vor was ihn die Firewall schützen kann bzw. nicht kann. Danach folgt eine Einführung in iptables. Der Autor führt darin anschaulich durch das Erstellen eines ersten Firewall-Skripts. Also "learning by doing" in Reinform. Wer damit sein erstes Firewall-Skript geschrieben hat, sollte die Grundlagen verstanden haben und ist fit für den Rest des Buches. Bevor es mit Firewalls weiter geht, wird die Härtung eines Linux-Systems beschrieben. Denn was nützt eine Firewall, die selbst die Schwachstellen der zu schützenden Systeme enthält?

Der nächste Teil des Buches beschreibt typische Firewall-Konfigurationen: Eine lokale Firewall und den Aufbau einer DMZ. Der Beschreibung aller notwendigen Werkzeuge widmet sich der nächste Abschnitt, bei dem weder Protokollierung noch Administration zu kurz kommen. Wer den Konfigurationsdateien nicht mit vi oder emacs zu Leibe rücken will, findet hier passende grafische Hilfsmittel beschrieben. Auch auf die Eigenheiten verschiedener Distributionen wird eingegangen, einschließlich der "Firewall-Distributionen" IPCop und Smoothwall.

Ein Kapitel über Testmethoden und -werkzeuge zeigt, wie man bockigen Konfigurationen auf die Schliche kommt. Fortgeschrittene Konfigurationsmöglichkeiten werden im fünften Teil behandelt, der sich auch sehr gut als Nachschlagewerk eignet. Dasselbe gilt für die Beschreibung der Protokolle und Applikationen im siebten Teil. Das Inhaltsverzeichnis ähnelt, vor allem durch diese Teile, mehr einem Index - selten habe ich ein so ausführliches Inhaltsverzeichnis für ein so normal dickes Buch gesehen. Das stellt eines Erachtens einen echten Mehrwert dar.

IDS und IPS werden im zweiten Band behandelt: "Intrusion Detection und Prevention mit Snort 2 & Co.". Nach einer allgemeinen Beschreibung werden verfügbare Open-Source-IDS und -IPS beschrieben. Auch Hilfestellungen für den Fall eines erfolgreichen Einbruchs kommen nicht zu kurz, der Titel hätte ruhig um Forensik erweitert werden können. Eine kurze Einführung von Honeypots rundet den Band ab. Wer ein IDS und/oder IPS benötigt, findet hier alle notwendigen Informationen zum Aufbau und Betrieb. Auch Schwächen und Einschränkungen werden nicht verschwiegen oder wie der Autor selbst schreibt: "Die Eierlegende Wollmilchsau des Intrusion-Detection-Systems muss erst noch entwickelt werden".

Im Anhang werden Netzwerkgrundlagen und typische Angriffe beschrieben, auch Rootkits und Kryptographie werden kurz angesprochen. Wobei bei einer Neuauflage die Kryptographie ruhig zu Gunsten eines erweiterten Rootkit-Kapitels wegfallen könnte: Zum einen ist das Kryptographie-Kapitel überflüssig, wer sich damit beschäftigen will oder muss, kommt um den Kauf eines entsprechenden Buches nicht herum. Zum anderen passen Rootkits sehr gut zum Forensik-Anteil des Buches.

Zum Nachvollziehen der Beispiele ist eine CD mit einer virtuellen Linux-Umgebung enthalten, eine weitere CD enthält ein auf Fedora Core 2 basierendes Rettungssystem mit Forensik-Tools.

Fazit: Eine sehr empfehlenswerte Box!