- Endian Firewall
-
Die Endian Firewall ist eine auf die Funktionen Router-, Firewall- und Gateway-Sicherheit spezialisierte Linux-Distribution der Südtiroler Firma Endian. Wahlweise ist das Produkt als freie Software, als kommerzielle Software mit garantierten Supportleistungen oder auch komplett installiert als Hardware (Appliance) inklusive Supportleistungen erhältlich.
Inhaltsverzeichnis
Kurzbeschreibung
Die Endian Firewall ist eine schlüsselfertige Linux Security Distribution, die sich als eigenständige, vereinheitlichte Sicherheitsmanagements-Lösung (Unified Threat Management) versteht. Die Endian Firewall basiert auf einem abgesicherten Linux-Betriebssystem. Das System wird über eine Boot-CD auf einem PC installiert. Nach wenigen Grundeinstellungen beginnt die Installation, welche die Partitionierung der Festplatte vornimmt und die Dateien überspielt. Danach kann der Rechner auch ohne Monitor (headless) betrieben werden. Eine Tastatur und ein Monitor werden nicht mehr benötigt, da die komplette Konfiguration des Servers über eine Webschnittstelle (siehe Abbildung „Die Webschnittstelle der Endian Firewall“) mittels eines anderen Computers erfolgt, der wahlweise über das Netzwerk verbunden wird – alternativ kann auch über die serielle Schnittstelle auf das System zugegriffen werden.
Die Hauptaufgabe der Endian Firewall ist es, als Gateway, Router und Firewall sowie als Proxy für Web, E-Mail, FTP, SIP sowie DNS zu fungieren. Hierbei werden im Normalfall bis zu vier unterschiedliche Netzwerke verwaltet, siehe Abbildung "Schema der Netzwerktopologie". Für jedes dieser Netze muss eine Netzwerkkarte in den Computer eingebaut werden. Auch sie werden über die Webschnittstelle konfiguriert. Bei Endian werden diese durch farbliche Kodierung differenziert (siehe hierzu auch Abbildung "Schema der Netzwerktopologie"):
- Rotes Netz: Verbindung zum unsicheren Internet
- Grünes Netz: Sicheres Intranet, hier werden die zu schützenden Arbeitsplätze oder Intranet-Server, z.B. Datei-Server, angeschlossen.
- Oranges Netz: Teilsichere Demilitarisierte Zone (DMZ), um eigene Server zu betreiben, die über das Internet erreichbar sein müssen, z.B. Web- oder FTP-Server
- Blaues Netz: Teilsicheres WLAN, hierüber werden WLAN-Teilnehmer angeschlossen. Somit sind sie vom grünen Netz getrennt, was dessen Sicherheit erhöht.
Es können jedoch noch weitere, zusätzliche Netzwerke verwaltet werden. Die Endian Firewall unterstützt hierbei auch Load-Balancing, d.h. man kann eine weitere Verbindung zum Internet dem roten Netz hinzufügen; Endian Firewall verteilt die Netzwerklast dann auf beide Schnittstellen.
Lizenz
Hinter der Endian Firewall steht die italienische Endian GmbH aus Eppan, Südtirol und eine Community aus freiwilligen Entwicklern und Helfern. Das Lizenzmodell von Endian sieht eine kommerzielle Version und eine freie Version vor:
- Die kommerzielle Version kann sowohl als eigenständige Software (das Produkt wird von Endian einfach Endian UTM Software genannt) gekauft werden, um sie auf eigenen PCs zu installieren, als auch in Form von fertigen Out of the Box-Firewalls, im Sinne von spezieller Hardware, auf welcher die Software vorinstalliert ist. Derzeit gibt es vier Hardware-Varianten mit unterschiedlichem Leistungsvermögen und für unterschiedliche Netzwerkgrößen: Mini, Mercury, Macro und Macro X2.
- Die freie Version (das Produkt wird von Endian Endian Firewall Community Version genannt) ist wie das Produkt Endian UTM Software eine spezialisierte Software zur Installation auf eigener Hardware. Sie steht jedoch unter der GPL, ist somit freie Software und kann kostenlos heruntergeladen werden. Die Community-Version beinhaltet keinen Support. Nicht alle Neuerungen der kommerziellen Version werden in die Community-Version übertragen (so ist z.B. die Hot-Spot-Funktion für WLANs der kommerziellen Version vorbehalten), außerdem erscheinen Neuerungen teilweise erst mit einer zeitlichen Verzögerung in der Community-Version.
Funktionsumfang
Die Versionen 2.2 und 2.3 beinhalten folgende Hauptfunktionen:
Gateway
- Unterstützung für ADSL-Modems (USB, PCI)
- ISDN-Unterstützung
- Ethernet-Unterstützung
- Lastverteilung
- Traffic Shaping
- multiple öffentliche IP-Adressen
Firewall & Sicherheit
- Firewall (beide Richtungen)
- demilitarisierte Zone
- Intrusion Detection System
- Web-, FTP- und E-Mail-Antivirus
- Web- und E-Mail-Antispam
- Content Filter
- Hotspot/Wireless Security (nicht bei Community-Version)
- HTTPS-Weboberfläche
- SSH-Zugang und Weiterleitung
Ab Version 2.3
- Zeitplaner für automatische Backups
Server-Dienste
- Transparenter HTTP-, FTP-, SMTP- und POP3-Proxy
- Caching DNS-Server
- DHCP-Server (jeweils getrennt für das grüne, blaue und orange Netz)
- Network Address Translation
- SIP VoIP-Unterstützung (seit 2.4.1 nicht mehr enthalten)
- Virtual Private Network (VPN) Gateway mit OpenVPN oder IPsec
- NTP-Server
Ab Version 2.3
- Policy-basiertes Routing (Schnittstelle, MAC-Adresse, Protokoll oder Port)
- generische SNMP-Unterstützung
- VLAN Support (IEEE 802.1Q Trunking)
Benutzerverwaltung
- Lokal
- RADIUS
- LDAP
- Active Directory
- NTLM Single Sign-On
Ab Version 2.3
- benutzer- bzw. gruppenweise HTTP-Proxy-Content-Filter-Regeln
Logging & Monitoring
- Visualisierter Live Log Viewer (AJAX basiert), siehe Abbildung „Die Webschnittstelle der Endian Firewall“
- Log der Aktivitäten und der Beanspruchung von Netzwerk und Hardware
- Verbindungsstatistiken
- Weiterleitungsmöglichkeit der Syslogs auf einen externen Server
Ab Version 2.3
- Startseite mit integriertem DASH-Board
- ereignisbasierte Benachrichtigungen per E-Mail
Sonstiges
- Unterstützung von Software-RAID
Geschichte und Vergleich zum Ursprung
Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet. Beispielsweise nutzt Endian heute den RPM Package Manager, was eine vereinfachte Wartung mit sich bringt und häufige langwierige Kompilierzeiten, wie sie bei LFS-basierten Distributionen wie IPcop üblich sind, vermeidet. Neuere Versionen basierten zunächst auf Linux From Scratch und ab Version 2.2 auf RHEL[1] bzw. auf CentOS[2]. Mit der kommenden Version 3.0 soll die Endian Firewall praktisch "Smoothwall-" und "IPcop-frei" werden.
Der größte Unterschied zu IPCop ist, dass sich die Endian Firewall nicht mehr lediglich als reine Router/Firewall-Kombination versteht, sondern als umfassende Gateway-Sicherheitslösung (Unified Threat Management). Hierzu sind ein Virenscanner und ein Spam-Blocker fest in die Distribution integriert worden. Damit kann der Verkehr von HTTP, FTP, POP3 und SMTP in Echtzeit gescannt und gegebenenfalls gefiltert werden. Als völlig neue Merkmale wurden weiterhin mehrere WAN-Verbindungen (für einfache Lastverteilung, failover) und eine WLAN-Hot-Spot-Funktion integriert.
Darüber hinaus wurden im Vergleich zu IPCop die Menüs um viele Punkte verfeinert, womit eine genauere Konfiguration der einzelnen Dienste ermöglicht wird, was allerdings auch die Komplexität erhöht.
Zusammenfassend kann man sagen, dass die Endian Firewall verglichen mit IPCop in Bezug auf Gateway-Sicherheit die umfassendere Lösung ist, als Kompromiss dazu jedoch eine etwas umfangreichere Konfiguration und spürbar höhere Anforderungen an die Hardware-Ausstattung in Kauf genommen werden müssen (es werden für die Nutzung der kompletten Funktionalität 512 MB Arbeitsspeicher sowie 1 GHz Prozessortakt empfohlen, beziehungsweise 256 MB und 500 MHz als Mindestausstattung genannt).
Bezüglich der Entwicklung und des Geschäftsmodells unterscheidet sich Endian zu seinen Ursprüngen Smoothwall und IPCop wie folgt:
- Smoothwall: Entwicklung einer kommerziellen Version durch die Smoothwall Ltd. sowie einer freien Version durch eine Community aus Freiwilligen. Neuerungen in der kommerziellen Version werden nur teilweise, Sicherheitsupdates manchmal bewusst verzögert in die freie Version integriert. Diese Firmenpolitik war der Anlass zur Abspaltung eines Teils der Community zu IPCop[1]
- IPCop: Entwicklung ausschließlich durch eine Community aus Freiwilligen, es existiert nur eine freie Version.
- Endian Firewall: Freundliche Abspaltung von IPCop mit dem Ziel, die Software um Funktionen zu erweitern, um eine allumfassende Sicherheits-Gateway-Software zu erstellen. Wie bei Smoothwall gibt es aber auch hier in der kommerziellen Version Funktionen, die der freien Community-Version fehlen.
Aktuelle Entwicklung und Kritik
Seit den Community-Versionen 2.3 und 2.4 werden in den einschlägigen Userforen rund um Endian zunehmend kritische Stimmen laut. Es werden in der Hauptsache drei Themen bemängelt:
- Stabilität und Fehlerfreiheit: Während das Release 2.2 noch als stabil und ausgereift galt, empfanden viele Anwender die von Ihnen lange erwartete Version 2.3 bezüglich auf die Fehlerfreiheit als Desaster. Gesamte Dienste, z.B. das VPN-Modul, funktionierten bei vielen Anwendern nicht, so dass ein Einsatz dieses Releases als Produktivsystem nicht in Frage kam und sie wieder ein Downgrade zu 2.2 durchführen mussten. Viele User erwarteten, dass 2.4 diese Bugs bereinigen würde, was jedoch in vielen Fällen nicht eintrat. Die Version 2.4 wird sogar oftmals als noch fehlerbehafteter bezeichnet, als 2.3. Viele User konnten sie aufgrund von Fehlern in der Installationsroutine gar nicht erst installieren, so dass sich Endian gezwungen sah, kurzfristig die zum download angebotene Version kommentarlos mit einer diesbezüglich Nachgebesserten zu ersetzen (erkennbar am Dateinamenzusatz "RESPIN").
- In Zusammenhang mit der von einigen als mangelhaft empfundenen Qualität der letzten Releases steht zunehmend die Kommunikation und die Transparenz des Entwicklungsprozesses seitens Endian Srl in der Kritik. Das Unternehmen böte zwar eine als "Community-Version" bezeichnete Version an und erwecke auf der Homepage den Anschein, dass eine Community rund um das Produkt existiere - kritische Stimmen behaupten jedoch, dass Endian keine echte Community besäße, im Sinne einer Mitwirkung an der Entwicklung, und keine oder nur sehr spärliche Kommunikation mit den Anwendern der Community-Version stattfände.
- Die Entwicklung von Endian fände ausschließlich durch Endian Srl statt, der gesamte Entwicklungsprozess sei intransparent und fände "hinter verschlossenen Türen statt". Die von Endian als Community bezeichneten Verwender der Community-Version würden nicht einmal in einen Betatest miteinbezogen oder über zukünftige Entwicklungsziele informiert, wodurch eine Teilnahme an der Entwicklung nicht möglich sei. In Folge dessen werden immer wieder Stimmen laut, die über einen möglichen Fork diskutieren.
Resonanz
- Die Endian Firewall ist Teil des c't-Debian-Server Version 4 (erschienen im August 2009) und war dies bereits 2007[2].
- Im Juli 2005 wurde die Endian Firewall von OSDir [3] zum Projekt der Woche gewählt.
- In der Community hat die Endian Firewall ein großes Echo erhalten [4].
- Das Linux Magazin 09/2008 hat Endian Firewall UTM Appliances getestet und dem System gute Noten gegeben[5]
Weblinks
- Endian Srl
- Endian Srls Website des Projekts
- Sourceforges Website des Projekts
- deutschsprachiges Forum
Einzelnachweise
Kategorien:- Linux-Distribution
- Freie Sicherheitssoftware
- Linux-Distribution für Netzwerkdienst
- Freies Betriebssystem
Wikimedia Foundation.