Endian Firewall

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Endian Firewall
Entwickler Endian
Lizenz(en) GPL (Freie Software)
Akt. Version Community Version 3.3.2 (13. November 2020)
Kernel 4.1.17
Abstammung GNU/Linux
↳ Red Hat Linux
↳ Fedora
↳ RHEL
↳ CentOS
↳ Smoothwall
↳ IPCop
↳ Endian Firewall
Architektur(en) IA-32, i686
Sonstiges Preis: Die Community-Version ist kostenlos, auch als kommerzielles Produkt erhältlich.
Sprache Installation: Englisch, Deutsch, Italienisch
Sprache der Webschnittstelle: 11 Sprachen
www.endian.com

Die Endian Firewall ist eine Linux-Distribution des Südtiroler Unternehmens Endian. Sie ist spezialisiert auf die Funktionen Router-, Firewall- und Gateway-Sicherheit. Wahlweise ist das Produkt als freie Software, als kommerzielle Software mit garantierten Supportleistungen oder auch komplett installiert als Hardware (Appliance) inklusive Supportleistungen erhältlich.

Kurzbeschreibung

[Bearbeiten | Quelltext bearbeiten]

Die Endian Firewall ist eine schlüsselfertige Linux Security Distribution, die sich als eigenständige, vereinheitlichte Sicherheitsmanagements-Lösung (Unified Threat Management) versteht. Die Endian Firewall basiert auf einem abgesicherten Linux-Betriebssystem. Das System wird über eine Boot-CD auf einem PC installiert. Nach wenigen Grundeinstellungen beginnt die Installation, welche die Partitionierung der Festplatte vornimmt und die Dateien überspielt. Danach kann der Rechner auch ohne Monitor (headless) betrieben werden. Eine Tastatur und ein Monitor werden nicht mehr benötigt, da die komplette Konfiguration des Servers über eine Webschnittstelle (siehe Abbildung „Die Webschnittstelle der Endian Firewall“) mittels eines anderen Computers erfolgt, der wahlweise über das Netzwerk verbunden wird – alternativ kann auch über die serielle Schnittstelle auf das System zugegriffen werden.

Die Hauptaufgabe der Endian Firewall ist es, als Gateway, Router und Firewall sowie als Proxy für Web, E-Mail, FTP, SIP sowie DNS zu fungieren. Hierbei werden durch Endian bis zu vier unterschiedliche Netzwerkzonen verwaltet, siehe Abbildung „Schema der Netzwerktopologie“. Für jedes dieser Netzwerkzonen muss eine Netzwerkkarte in den Computer eingebaut werden. Auch sie werden über die Webschnittstelle konfiguriert. Bei Endian werden diese durch farbliche Kodierung differenziert (siehe hierzu auch Abbildung „Schema der Netzwerktopologie“):

Schema der Netzwerktopologie
  • Rotes Netz: Verbindung zum unsicheren Internet
  • Grünes Netz: Sicheres Intranet, hier werden die zu schützenden Arbeitsplätze oder Intranet-Server, z. B. Datei-Server, angeschlossen.
  • Oranges Netz: Teilsichere Demilitarisierte Zone (DMZ), um eigene Server zu betreiben, die über das Internet erreichbar sein müssen, z. B. Web- oder FTP-Server
  • Blaues Netz: Teilsicheres WLAN, hierüber werden WLAN-Teilnehmer angeschlossen. Somit sind sie vom grünen Netz getrennt, was dessen Sicherheit erhöht.

Es können jedoch noch weitere, zusätzliche Netzwerke verwaltet werden. Die Endian Firewall unterstützt hierbei auch Load-Balancing, d. h. man kann eine weitere Verbindung zum Internet dem roten Netz hinzufügen; Endian Firewall verteilt die Netzwerklast dann auf beide Schnittstellen.

Hinter der Endian Firewall steht die italienische Endian Spa aus Eppan, Südtirol und eine Community aus freiwilligen Entwicklern und Helfern. Das Lizenzmodell von Endian sieht eine kommerzielle Version und eine freie Version vor:

  • Die kommerzielle Version kann sowohl als eigenständige Software (das Produkt wird von Endian einfach Endian UTM Software genannt) gekauft werden, um sie auf eigenen PCs zu installieren, als auch in Form von fertigen Out-of-the-Box-Firewalls, im Sinne von spezieller Hardware, auf welcher die Software vorinstalliert ist. Derzeit gibt es vier Hardware-Varianten mit unterschiedlichem Leistungsvermögen und für unterschiedliche Netzwerkgrößen: Mini, Mercury, Macro und Macro X2.
  • Die freie Version (das Produkt wird von Endian Endian Firewall Community Version genannt) ist wie das Produkt Endian UTM Software eine spezialisierte Software zur Installation auf eigener Hardware. Sie steht jedoch unter der GPL, ist somit freie Software und kann kostenlos heruntergeladen werden. Die Community-Version beinhaltet keinen Support. Nicht alle Neuerungen der kommerziellen Version werden in die Community-Version übertragen (so ist z. B. die Hot-Spot-Funktion für WLANs der kommerziellen Version vorbehalten), außerdem erscheinen Neuerungen teilweise erst mit einer zeitlichen Verzögerung in der Community-Version.

Funktionsumfang

[Bearbeiten | Quelltext bearbeiten]

Die aktuelle Version beinhaltet folgende Hauptfunktionen:

  • Ethernet-Unterstützung
  • Lastverteilung
  • Traffic Shaping
  • Unterstützung von mehreren Uplinks
  • Uplink-Failover

Firewall & Sicherheit

[Bearbeiten | Quelltext bearbeiten]
  • Firewall (beide Richtungen)
  • demilitarisierte Zone
  • Intrusion Detection System / Intrusion Prevention System
  • Web-, FTP- und E-Mail-Antivirus
  • Antispam
  • Content Filter
  • HTTPS-Weboberfläche
  • SSH-Zugang und Weiterleitung
  • Zeitplaner für automatische Backups
  • Policy-basiertes Routing (Schnittstelle, MAC-Adresse, Protokoll oder Port)
  • generische SNMP-Unterstützung
  • VLAN Support (IEEE 802.1Q Trunking)

Benutzerverwaltung

[Bearbeiten | Quelltext bearbeiten]
  • Lokal
  • RADIUS
  • LDAP
  • Active Directory
  • NTLM Single Sign-On
  • benutzer- bzw. gruppenweise HTTP-Proxy-Content-Filter-Regeln

Logging & Monitoring

[Bearbeiten | Quelltext bearbeiten]
  • Visualisierter Live Log Viewer (AJAX basiert), siehe Abbildung „Die Webschnittstelle der Endian Firewall“
  • Log der Aktivitäten und der Beanspruchung von Netzwerk und Hardware
  • Verbindungsstatistiken
  • Weiterleitungsmöglichkeit der Syslogs auf einen externen Server
  • Startseite mit integriertem DASH-Board
  • ereignisbasierte Benachrichtigungen per E-Mail
  • Unterstützung von Software-RAID

Geschichte und Vergleich zum Ursprung

[Bearbeiten | Quelltext bearbeiten]

Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet. Beispielsweise nutzt Endian heute den RPM Package Manager, was eine vereinfachte Wartung mit sich bringt und häufige langwierige Kompilierzeiten, wie sie bei LFS-basierten Distributionen wie IPcop üblich sind, vermeidet. Neuere Versionen basierten zunächst auf Linux From Scratch und ab Version 2.2 auf RHEL[1] bzw. auf CentOS[2]. Mit der kommenden Version 3.0 soll die Endian Firewall praktisch „Smoothwall-“ und „IPcop-frei“ werden.

Der größte Unterschied zu IPCop ist, dass sich die Endian Firewall nicht mehr lediglich als reine Router/Firewall-Kombination versteht, sondern als umfassende Gateway-Sicherheitslösung (Unified Threat Management). Hierzu sind ein Virenscanner und ein Spam-Blocker fest in die Distribution integriert worden. Damit kann der Verkehr von HTTP, FTP, POP3 und SMTP in Echtzeit gescannt und gegebenenfalls gefiltert werden. Als völlig neue Merkmale wurden weiterhin mehrere WAN-Verbindungen (für einfache Lastverteilung, Failover) und eine WLAN-Hot-Spot-Funktion integriert.

Darüber hinaus wurden im Vergleich zu IPCop die Menüs um viele Punkte verfeinert, womit eine genauere Konfiguration der einzelnen Dienste ermöglicht wird, was allerdings auch die Komplexität erhöht.

Zusammenfassend kann man sagen, dass die Endian Firewall verglichen mit IPCop in Bezug auf Gateway-Sicherheit die umfassendere Lösung ist, als Kompromiss dazu jedoch eine etwas umfangreichere Konfiguration und spürbar höhere Anforderungen an die Hardware-Ausstattung in Kauf genommen werden müssen (es werden für die Nutzung der kompletten Funktionalität 512 MB Arbeitsspeicher sowie 1 GHz Prozessortakt empfohlen, beziehungsweise 256 MB und 500 MHz als Mindestausstattung genannt).

Bezüglich der Entwicklung und des Geschäftsmodells unterscheidet sich Endian zu seinen Ursprüngen Smoothwall und IPCop wie folgt:

  • Smoothwall: Entwicklung einer kommerziellen Version durch die Smoothwall Ltd. sowie einer freien Version durch eine Community aus Freiwilligen. Neuerungen in der kommerziellen Version werden nur teilweise, Sicherheitsupdates manchmal bewusst verzögert in die freie Version integriert. Diese Firmenpolitik war der Anlass zur Abspaltung eines Teils der Community zu IPCop[3]
  • IPCop: Entwicklung ausschließlich durch eine Community aus Freiwilligen, es existiert nur eine freie Version.
  • Endian Firewall: Freundliche Abspaltung von IPCop mit dem Ziel, die Software um Funktionen zu erweitern, um eine allumfassende Sicherheits-Gateway-Software zu erstellen. Wie bei Smoothwall gibt es aber auch hier in der kommerziellen Version Funktionen, die der freien Community-Version fehlen.

Aktuelle Entwicklung und Kritik

[Bearbeiten | Quelltext bearbeiten]

Seit den Community-Versionen 2.3 und 2.4 werden in den einschlägigen Userforen rund um Endian zunehmend kritische Stimmen laut. Es werden in der Hauptsache drei Themen bemängelt:

  1. Stabilität und Fehlerfreiheit: Während das Release 2.2 noch als stabil und ausgereift galt, empfanden viele Anwender die von ihnen lange erwartete Version 2.3 bezüglich auf die Fehlerfreiheit als Desaster. Gesamte Dienste, z. B. das VPN-Modul, funktionierten bei vielen Anwendern nicht, so dass ein Einsatz dieses Releases als Produktivsystem nicht in Frage kam und sie wieder ein Downgrade zu 2.2 durchführen mussten. Viele User erwarteten, dass 2.4 diese Bugs bereinigen würde, was jedoch in vielen Fällen nicht eintrat. Die Version 2.4 wird sogar oftmals als noch fehlerbehafteter bezeichnet, als 2.3. Viele User konnten sie aufgrund von Fehlern in der Installationsroutine gar nicht erst installieren, so dass sich Endian gezwungen sah, kurzfristig die zum download angebotene Version kommentarlos mit einer diesbezüglich Nachgebesserten zu ersetzen (erkennbar am Dateinamenzusatz „RESPIN“).
  2. In Zusammenhang mit der von einigen als mangelhaft empfundenen Qualität der letzten Releases steht zunehmend die Kommunikation und die Transparenz des Entwicklungsprozesses seitens Endian Spa in der Kritik. Das Unternehmen böte zwar eine als „Community-Version“ bezeichnete Version an und erwecke auf der Homepage den Anschein, dass eine Community rund um das Produkt existiere – kritische Stimmen behaupten jedoch, dass Endian keine echte Community besäße, im Sinne einer Mitwirkung an der Entwicklung, und keine oder nur sehr spärliche Kommunikation mit den Anwendern der Community-Version stattfände.
  3. Die Entwicklung von Endian fände ausschließlich durch Endian Spa statt, der gesamte Entwicklungsprozess sei intransparent und fände „hinter verschlossenen Türen statt“. Die von Endian als Community bezeichneten Verwender der Community-Version würden nicht einmal in einen Betatest miteinbezogen oder über zukünftige Entwicklungsziele informiert, wodurch eine Teilnahme an der Entwicklung nicht möglich sei. Infolgedessen werden immer wieder Stimmen laut, die über einen möglichen Fork diskutieren.

Die aktuelle Version 3.3.2, VÖ November 2020, macht einen stabilen Eindruck, wird aber offenbar nicht mehr weiterentwickelt. Auch die Veröffentlichung von Updates für diese Version (Patches) ist mehr und mehr eingeschlafen. Bekannte Sicherheitslücken bestehen Stand Mitte 2024 schon seit Jahren und sind teils sogar für absolute Laien nachvollziehbar. Die OpenVPN-Implementierung ist veraltet und nutzt einige Parameter (teils unveränderlich), von denen heute aus Sicherheitsgründen dringend abgeraten wird. Dies erschwert Verbindungen zu anderen Produkten mit aktueller Implementierung. Eine IPv6-Implementierung fehlt bis heute gänzlich. Die Zukunft der Endian Firewall scheint somit fraglich.

  • Die Endian Firewall ist Teil des c’t-Debian-Server Version 4 (erschienen im August 2009) und war dies bereits 2007[4].
  • Im Juli 2005 wurde die Endian Firewall von OSDir[5] zum Projekt der Woche gewählt.
  • Das Linux Magazin 09/2008 hat Endian Firewall UTM Appliances 2.2 getestet und dem System ein Testergebnis im oberen Mittelfeld vergleichbarer Produkte bescheinigt.[6]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. http://distrowatch.com/?newsid=04686
  2. http://distrowatch.com/?newsid=05731
  3. Archivlink (Memento des Originals vom 7. September 2012 im Webarchiv archive.today)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.linuxnetmag.org
  4. Archivierte Kopie (Memento des Originals vom 17. November 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.heise.de
  5. Artikel zum Project of the week bei OSdir (Memento des Originals vom 27. Dezember 2015 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.osdir.com
  6. http://www.linux-magazin.de/heft_abo/ausgaben/2008/09/offenes_gruen