Die monatliche GNU-Kolumne Brave GNU World von Georg C. F. Greve

Willkommen zu einer neuen Ausgabe der Brave GNU World. Zu Anfang soll ein ewiges Thema der Informationstechnologie zu seinem Recht kommen, die Sicherheit.

Simple Security Policy Editor (SSPE)

Der Simple Security Policy Editor (SSPE) [5] von Johannes Hubertz ist eine Netzwerk/Firewall-Lösung für GNU/Linux-Systeme basierend auf netfilter, [6] FreeS/WAN [7] und OpenSSL. [8] Primäre Zielgruppe sind vor allem Unternehmen, die ihre Filialen, Abteilungen oder Außenstellen per Internet miteinander vernetzt haben.

Begonnen hat Johannes Hubertz mit der Arbeit an SSPE im Dezember 2001, nachdem er vergeblich eine Lösung gesucht hat, die den Anforderungen seiner Firma entsprach.

Da sie mit "Kerckhoffs' Principle" vertraut waren und somit um den Unsinn von "security through obscurity" wußten -- siehe hierzu beispielsweise die Artikel von Bruce Schneier [9] -- kamen proprietäre, intransparente Systeme für sie nicht in Betracht. Es mußte also Freie Software sein, um überhaupt erwogen zu werden.

Zu den technischen Notwendigkeiten gehörte aber auch die Möglichkeit einer verteilten Administration über mehrere Maschinen, weshalb nach einiger Recherche beschlossen wurde, dass keine der bereits als Freie Software implementierten Lösungen Johannes wirklich das Problem löste. So fiel schließlich die Entscheidung, ein eigenes Projekt zu starten.

Für die Entwicklung wurde auf Perl und Bash-Shellskripte zurückgegriffen, da diese den meisten Administratoren vertraut sind und zudem auf allen GNU/Linux Distributionen problemlos einsetzbar sind.

Nach drei Monaten Entwicklung war das Projekt zur Einsatzreife herangewachsen und befindet sich seit März 2002 im Produktionseinsatz; mittlerweile bei 8 Standorten von zwei Firmen. Eine dritte Firma plant den Einsatz für mehrere hundert im Außeneinsatz befindliche Ingenieure. Tatsächlich hat das Projekt seit März 2003 keine größeren Änderungen mehr erfahren, kann also trotz der recht niedrigen Versionsnummer 0.1.7 durchaus als stabil betrachtet werden.

Es sind Johannes momentan keine besonderen Probleme bekannt, allerdings weist er darauf hin, dass das Projekt nicht für den Einsatz auf einem einzelnen Rechner konzipiert wurde und sich die Vorteile erst ab mehreren Rechnern wirklich bemerkbar machen. Ausserdem ist Erfahrung im Kompilieren von Linux-Kerneln und Grundwissen zur Netzwerksicherheit Voraussetzung für den Einsatz.

Bei der Distribution ist dem Anwender die völlige Freiheit gegeben. Er selber setzt es auf Debian GNU/Linux ein und weiss um den erfolgreichen Einsatz auf RedHat, aber es sollte problemlos auch auf anderen Distributionen verwendbar sein.

Zu den Vorteilen des Projekts zählt darüberhinaus, daß es erlaubt, die gesamte Netzwerkstruktur in wenigen Textfiles zentral zu verwalten, so wird das Hinzufügen neuer Außenstellen extrem einfach. Überhaupt zählen Flexibilität, Transparenz und Stabilität zu den vom Autor angeführten Vorteilen.

Ein weiterer Vorteil des Projekts ist in seinen Augen, dass er im März 2003 seine Vorgesetzten von der Veröffentlichung unter der GNU General Public License (GPL) überzeugen konnte, und daher auch die juristische Komponente des Projekts gesichert ist.

Somit steht einem breiten Einsatz eigentlich nichts im Wege. Und da ihm selbst die Zeit zur Weiterentwicklung über das Beheben von Fehlern hinaus fehlt, würde Johannes sich freuen, falls dieser Artikel Interesse am Einsatz und der weiteren Entwicklung geweckt haben sollte.

UK Free Software Network (UKFSN)

Ein Internet Service Provider (ISP) der besonderen Art ist das UK Free Software Network (UKFSN) [10] von Jason Clifford, denn das Ziel ist, mit Freier Software hochqualitative Internetleistungen von Einwahl über ADSL bis hin zu Webhosting zu soliden Preisen anzubieten und von den Gewinnen wieder Freie Software zu fördern.

Als Software für die wesentlichen Dienste kommen Apache als Web Server, Postfix und tpop3d für Email, sowie FreeRADIUS zur Einwahl-Authentifizierung zum Einsatz. Darüberhinaus setzt das Projekt stark auf MySQL. Das gesamte administrative System von der Einrichtung neuer Accounts bis hin zu den Wartungs-Skripten im Hintergrund wurde in Perl geschrieben.

Nach Angaben von Jason Clifford erhält UKFSN auch viel Lob für die angebotenen Leistungen. So wird Nutzern z.B. die Wahl zwischen Python, Perl und PHP für Skripte geboten -- und alle drei befinden sich in guter Benutzung. Ergänzt wird dieses vollständige CGI-Angebot durch den Zugriff auf MySQL als Datenbank, eine unbegrenzte Anzwahl von POP3 Mailboxen pro Domain und einfaches Account-Management per Web-Interface.

Als Bonbon steht denjenigen, die es benutzen möchten, auch noch ein Perl-Modul zur Anbindung an WorldPay zur Verfügung, über das Zahlungen per Kreditkarte, Handy oder auch Überweisung getätigt werden können. Nebenbei bemerkt ist dieses Modul auch unabhängig von UKFSN selbst als Freie Software unter der GNU General Public License (GPL) im CPAN verfügbar. Eine zusätzliche Implementation in PHP ist in Planung.

Eine aktuelle Erweiterungen, an der Jason arbeitet, ist die Möglichkeit, über "User Mode Linux" virtuelle GNU/Linux Server zur Verfügung zu stellen, damit Kunden auch ohne eigene Hardware einen Server unterhalten können. Die andere Erweiterung ist ein Spam- und Virus-Filter für Email, der von den Kunden entsprechend ihrer Bedürftnisse eingestellt werden kann. Beide Erweiterungen sollen gegen Ende September 2003 bereits zur Verfügung stehen.

Interessant ist an UKFSN auch die Anti-Spam Politik. Diese beruht darauf, dass in den Nutzungsbedingungen und Vereinbarungen eine Klausel enthalten ist, dass Nutzer sich damit einverstanden erklären, beim Verschicken von Spam eine zusätzliche Gebühr von 150 britischen Pfund pro Empfänger zu entrichten. Jason weiß bereits von mehreren potentiellen "Kunden", die sich aufgrund dieser Bedingungen lieber nach einem anderen Provider umgesehen haben.

So schützt UKFSN nicht nur eigene Kunden gegen Spam -- ein normales Angebot der meisten Provider -- es trägt auch aktiv dazu bei, die Menge der verschickten Spam-Mails insgesamt zu reduzieren. Angesichts der Tatsache, daß selbst die besten Spam-Filter die Anzahl der Spam-Emails zumeist nicht auf das gewünschte Maß ("Null") reduzieren, hoffe ich, dieses Beispiel wird in Zukunft Schule machen.

Seinen Ursprung nahm UKFSN, als Jason Clifford realisierte, dass die Freie Software Community weltweit einen großen Teil ihrer Zeit online verbringt und das Internet die wesentliche Arbeits- und Kommunikationsplattform darstellt. Da es -- nach seiner Aussage -- nicht weiter schwer ist, einen ISP zu betreiben, dachte er sich, ein solches Projekt könne Spaß machen.

Der erste Anlauf mit derselben Idee war zwar kommerziell sehr erfolgreich und ist zu einer festen Größte in den UK geworden, doch hat Jason die Firma enttäuscht verlassen, als er feststellen mußte, dass er keine Zahlungen in Richtung Freier Software entdecken konnte.

Nach einigem Hin und Her entschied er sich daher im Juli 2002 zu einem neuen Anlauf, hatte im September genug Anschubfinanzierung zusammen und stellte UKFSN offiziell bei der London Linux-Expo am 9. Oktober 2002 vor. Seither arbeitete er an der Verbesserung der Leistungen und dem Einwerben neuer Nutzer. Einen Sprung machte UKFSN im Juni 2003, als er auch ADSL-Breitband Zugang anbieten konnte. Auch die Hardware-Spende von Digital Networks UK in Form mehrerer Server hat ihn einen großen Schritt voran gebracht. So kommt es, dass UKFSN im August 2003 zum ersten Mal einen kleinen Profit gemacht hat.

Es steht also zu hoffen, daß UKFSN bald schwarze Zahlen schreiben wird und abzüglich einer kleinen Rücklage zur Verbesserung und Erweiterung der Leistungen wird dann der gesamte Profit zur Förderung Freier Software an die Association For Free Software (AFFS) [11], eine assoziierte Organisation der Free Software Foundation Europe (FSF Europe) [12] gespendet.

Da er bereits mit dem ersten Versuch bewiesen hat, dass ein ISP ein funktionierendes Modell zur Generierung von Geldern für die Förderung Freier Software ist, geht es ihm nun darum, zu zeigen, dass es auch möglich ist, diese Gelder tatsächlich für Freie Software zu verwenden. Um dies transparent zu gestalten, macht er unter Anderem die monatlichen Finanzen von UKFSN auf der Webpage [10] öffentlich.

Für die Zukunft sind also zwei Dinge zu hoffen. Zum Einen, dass Leser in den UK oder Reisende, die in den UK eine Internetverbindung benötigen, zu UKFSN wechseln, sofern sie dies nicht bereits getan haben. Und zum Anderen, dass dieses Modell Nachahmer in anderen Ländern finden wird.

Damit genug der Anregung in diesem Gebiet, mehr ist für den nächsten Monat geplant.

Freie Software in der Wissenschaft

Die Parallelen zwischen Wissenschaft und Freier Software wurden schon häufig diskutiert. Tatsächlich finden sich regelmäßig Hinweise darauf, wie die Prinzipien Freier Software denen der Wissenschaft ähneln.

Grundsätzlich ähneln sich Wissenschaft und Freie Software dahingehend, dass beide auf der Kooperation vieler Individuen aufbauen, die in Kooperation mehr schaffen, als jede(r) für sich hätte erreichen können. Schön hat dies Sir Isaac Newton ausgedrückt, als er sagte: "Wenn ich etwas weiter sah als andere, so deshalb, weil ich auf den Schultern von Riesen stand."

Den Vorteil dieser Arbeit genießen dabei nicht nur die beteiligten Wissenschaftler oder Entwickler, sondern tatsächlich die gesamte Gesellschaft, wobei der Gesellschaftsbegriff hier bewusst auch die Wirtschaft mit einschliesst. Prägend ist, dass die Vorteile auch denen zur Verfügung stehen, die selber nicht zu ihnen beigetragen haben oder gar gegen sie ankämpften.

Soweit sind die Zusammenhänge relativ vielen Menschen mittlerweile klar. Allerdings gibt es noch eine andere, kaum beachtete Verbindung, die sich aus der wissenschaftlichen Methode ergibt.

Zur wissenschaftlichen Methode gehört, Theorien aufzustellen und diese durch Experimente zu untermauern. Wurde eine Theorie einmalig durch ein Experiment bestätigt, bringt jedes weitere erfolgreiche Experiment keinen weiteren Erkenntnisgewinn.

Anders ausgedrückt: Durch eine erfolgreiche experimentelle Bestätigung einer These gilt diese als wahr. Durch weitere Bestätigungen wird diese nicht "wahrer als wahr".

Anders liegt der Fall, wenn es gelingt, experimentell zu zeigen, dass die Theorie nicht stimmt, sie zu falsifizieren. In dem Fall ist die Theorie in ihrer bisherigen Form unwahr. Sie muß entweder aufgegeben oder überarbeitet werden -- unabhängig davon, wie viele Verifikationen vorher stattgefunden haben.

Eine einzige Falsifikation hebt beliebig viele Verifikationen auf. Die Falsifikation ist ein essentieller Teil des wissenschaftlichen Prozesses, ohne Falsifikation gibt es keine Wissenschaft.

Wo ist nun die Verbindung zu Freier Software?

Zunehmend wird Software zum Teil der Wissenschaft. Damit ist nicht gemeint, welcher Textprozessor zur Beschreibung der Ergebnisse verwendet wird. Vom Standpunkt der wissenschaftlichen Qualität der Ergebnisse nicht bedeutend, ob jemand seine Ergebnisse als ASCII Files oder in einem weit verbreiteten Office-Produkt schreibt.

Obwohl es in letztem Fall wahrscheinlich ist, dass zu einem späteren Zeitpunkt ein Ausdruck als Quelle zur erneuten Eingabe dienen muss, da die aktuelle Version die alte Datei nicht oder nur unzureichend lesen kann.

Die Verbindung von Software zur wissenschaftlichen Methode entsteht vielmehr dann, wenn Experimente ganz oder zumindest teilweise in Software durchgeführt werden. Hier wird die Software zum Teil des wissenschaftlichen Prozesses und Ergebnisses.

Dabei ist jedem Entwickler klar, dass die Veröffentlichung des in einem Programm verwandten Algorithmus nicht ausreichend ist, um die Mittel zur Falsifizierung zu erhalten; die Implementation ist entscheidend wichtig und wird ebenfalls zum Ergebnis.

Proprietäre Software schafft also eine "Black Box". Diese kann man sich bildlich vorstellen als kleinen schwarzen Kasten mit Knopf und Lampe. Nun wird gesagt, ein bestimmtes Experiment werde durchgeführt, sobald eine Person den Knopf drückt.

Es stellt sich die Frage: Wird diese Person durch das Drücken des Knopfes und das Aufleuchten der Lampe einen Erkenntnisgewinn erreichen?

Spannend wird es, wenn eine zweite Person mit einem zweiten Kasten auftaucht, der behauptet, es werde dasselbe Experiment durchgeführt, doch bei diesem bleibt auf Knopfdruck die Lampe aus.

In keinem Fall besteht die Möglichkeit, das Ergebnis zu verifizieren oder zu falsifizieren, es beruht ausschließlich auf Glauben und Vertrauen. Dies legt ein interessantes Fazit nahe.

Proprietäre Software ist inkompatibel mit der wissenschaftlichen Methode!

Dazu gesellen sich noch andere Schwierigkeiten. So ist beispielsweise auch der Weg, die Entwicklung einer Disziplin der Wissenschaft Teil des kulturellen Erbes der Menschheit und birgt unter Umständen wichtige Indizien für zukünftige Generationen. Ergebnisse dürfen nicht zeitabhängig sein.

Wer heute ein Experiment beispielsweise von Leonardo da Vinci wiederholen möchte, kann dies ohne größere Probleme tun.

Vorausgesetzt, die Software läßt sich noch finden und wanderte nicht -- wie so oft üblich -- nach 10 Jahren in ihrer letzten Kopie in den Abfall. Wie hoch stehen aber die Chancen, dass ein auf proprietärer Software basierendes Experiment, welches auf eine bestimmte Hardware und Software in bestimmten Versionen angewiesen ist, sich wiederholen läßt?

Diese Wahrscheinlichkeit tendiert offensichtlich sehr schnell stark gegen null, speziell, wenn in Maßstäben von Generationen gedacht wird.

Nur Freie Software mit ihrer Freiheit zur Portierung auf beliebige Plattformen erlaubt wirklich, die damals gemachten Experimente und damit auch möglichen guten oder nicht so guten Gedanken nachzuvollziehen.

Damit trägt Freie Software stark zur Archivierung der wissenschaftlichen und kulturellen Entwicklung der Menschheit bei, sie erlaubt die Bewahrung des Weges, der uns zum heutigen Punkt geführt hat.

Es wird schnell klar, dass die Verbindung zwischen Freier Software und Wissenschaft eine sehr viel intensivere ist, als es zunächst schien. Außerdem zeigt sich hier die Verbindung zu den sozialen und kulturellen Aspekten, die die Menschheit zusammenhalten.

Doch damit genug der Gedanken zu diesem Thema für den Moment.

Bis zum nächsten Mal

Vor dem Autor dieser Kolumne liegt nun ein recht anstrengender Monat mit UN-Konferenz zur Informationsgesellschaft in Genf, sowie Vorträgen in Madrid, Bern und Zürich.

Doch da ich per Laptop erreichbar sein werde, höre ich natürlich gerne, was Ihr zu sagen habt. Besonders spannend sind für mich dabei die kleinen Projekte, die oft nicht zur Kenntnis genommen werden, sowie persönliche Initiativen von Menschen der Freien Software.

Ich würde mich also freuen, per Email zahlreiche Anregungen und Kommentare zu erhalten -- wie immer an die übliche Adresse. [1]

Der Autor

Dipl.-Phys. Georg C. F. Greve beschäftigt sich seit etlichen Jahren mit Freier Software und kam früh zu GNU/Linux. Nach Mitarbeit im GNU-Projekt und seiner Aktivität als dessen europäischer Sprecher hat er die Free Software Foundation Europe initiiert, deren Präsident er ist. Mehr Informationen finden sich unter http://gnuhh.org.

Copyright (C) 2003 Georg C. F. Greve and Linux-Magazin

Permission is granted to make and distribute verbatim copies of this transcript as long as the copyright and this permission notice appear.