Praxistest: Endian Firewall Macro X2

Endian Firewall Macro X2

Gerätetyp: UTM-Firewall-Appliance als Rack-Einschub Hersteller: Endian S.r.l. [http://www.endian.com] Getestete Version: Endian Firewall Macro X2 mit Software-Release 2.2 Funktionen: Firewall (Paketfilter und Proxys), Traffic Shaping, Spam- und Virenschutz, OpenVPN und WLAN-Hotspot Betriebssystem: Eigene Linux-Distribution mit Kernel 2.6.22; Viele Pakete stammen aus RHEL 4, einige von Fedora, Dag Wieers oder direkt von Endian Hardware: 19-Zoll-Einschub mit 1 HE, 3 GByte RAM, sieben Ethernet-Interfaces, zwei 80-GByte-Festplatten im Raid-1-Verbund (Mirroring), LCD-Display Anzahl User: Der Hersteller empfiehlt das Gerät für 50 bis 500 Benutzer Preis: Gut 8050 Euro für die Appliance zuzüglich 1600 Euro für ein Jahr Standard-Maintenance mit Endian-Network-Zugang und Updates der Software, URL-Blacklisten, Viren- und Spamfilter

Keine Geheimnisse - so könnte der Slogan der Firma Endian lauten, die mit der Macro X2 eine UTM-Appliance (Unified Threat Management) entwickelt und vertreibt [1]. Neben der Firewallfunktion soll sie umfassend vor den Gefahren des Internets schützen. Endian empfiehlt die Macro X2 für 50 bis 500 User und ergänzt, dass sie 1,5 Millionen gleichzeitige Verbindungen und 150 000 E-Mails pro Tag verkrafte. Erfahrungsgemäß treffen in Firmen zwischen 100 und 200 Spam-Mails pro Tag und Benutzer ein, was gut zur angegebenen Quantität passt. Endian liefert auch kleinere Hardwarevarianten sowie eine reine Softwarelösung.

Die kleine Südtiroler Firma setzt konsequent auf Open Source (Tabelle 1) und Transparenz. Alle Nachfragen der Tester beantwortete der Hersteller detailliert und erfrischend offen. Admins können sich sogar per Secure Shell als Root in die Appliance einloggen und alles untersuchen oder die Konfiguration ändern. Dank der integrierten Web-Konfigurationsoberfläche sind SSH-Logins gar nicht nötig. Andere Hersteller vernageln dagegen ihre UTM-Appliances mit der Entschuldigung, dass sie dem Endkunden dies oder jenes erleichtern wollen. Die Vermutung liegt dann nahe, dass diese Geheimniskrämerei den eigenen Consultants mehr Arbeit verschaffen soll.

Endian bietet sogar eine Community-Version der Firewall an, die sich jeder kostenlos herunterladen kann. Diese Variante unterscheidet sich nur wenig von der Software, die auf der kommerziellen Appliance läuft: Ihr fehlen lediglich das VLAN-Tagging, die WLAN-Hotspot-Funktion sowie der Support durch den Endian-Helpdesk.

IPcop und Turbogears

Ursprünglich setzte die Endian-Firewall auf der IPcop-Firewall-Distribution [2] auf, die ihrerseits von einer frühen Version der Smoothwall [3] abstammt. Endian gibt an, gegenwärtig nur noch ein Fünftel des IPcop-Code zu verwenden, und will mit der kommenden Version 3.0 völlig IPcop-frei werden. Einen genauen Zeitplan gibt es dafür wohl noch nicht, der Hersteller peilt aber Mitte 2009 an. Zusätzlich will Endian in Version 3.0 vollständig von Perl-CGIs auf das mächtige Webframework Python Turbogears umstellen [4].

IPcop ist LFS-basiert (Linux From Scratch, [5]). Folglich ist es selbst bei kleinen Änderungen erforderlich (etwa bei Sicherheitspatches), die Distribution stundenlang neu zu kompilieren. Endian setzt daher RPM-Pakete ein, um dieses Wartungsproblem zu lösen.

Die Firewallfeatures der Endian-Appliance ähneln noch denen von IPcop. Im Manual heißt es dazu: "Endian borrows IPCOP\'s idea of different zones." Es gibt vier Zonen: Rot, Blau, Grün und Orange. Die grüne Zone entspricht trusted (also dem internen LAN), die rote Zone ist untrusted (Internet oder andere als unsicher betrachtete Netzwerke), die orangefarbene Zone ist die DMZ und die blaue Zone der WLAN-Hotspot.

Bunte Zonen

Zu einer Zone können ein oder mehrere Interfaces gehören. Physikalisch hat die Appliance sieben Stück und per VLAN-Tagging verwaltet sie viertausend virtuelle Interfaces. Mehr als die vorgegebenen vier Zonen sind aber leider nicht möglich. Die Grundeinstellung der Firewall legt fest, ob Netzwerkverbindungen auch innerhalb einer Zone oder zu einer anderen Zone erlaubt sind (Abbildung 1).

Abbildung 1: Welche Zone mit welchen anderen Zonen wie kommunizieren darf, bestimmt der Admin in der Endian-Firewall an zentraler Stelle.

Leider sind Zonen- und Netzwerkkonfiguration nur per Wizard zu ändern, der neben Zonen und Netzwerkkarten noch manches mehr abfragt. Das ist viel zu aufwändig, um nur ein neues Interface einzupflegen oder eine Subnetzmaske zu ändern, und erzeugt auch noch 20 Sekunden Downtime beim Restart der Services. Für anspruchsvolle Umgebungen, etwa mit E-Commerce oder vielen VPN-Usern, sind solche Aussetzer nicht akzeptabel.