© msw, Fotolia.com
Praxistest: Endian Firewall Macro X2
Offenes Grün
von Jörg Fritsch
Erschienen im Linux-Magazin
2008/09
Die Südtiroler Firma Endian stattet ihre grasgrün lackierte Firewall-Appliance mit allerlei Sicherheitstechniken aus. Wie gut sie sich in der Praxis bewähren, zeigt dieser Test.
|
Gerätetyp: UTM-Firewall-Appliance als Rack-Einschub
Hersteller: Endian S.r.l. [http://www.endian.com]
Getestete Version: Endian Firewall Macro X2 mit Software-Release 2.2
Funktionen: Firewall (Paketfilter und Proxys), Traffic Shaping, Spam- und Virenschutz, OpenVPN und WLAN-Hotspot
Betriebssystem: Eigene Linux-Distribution mit Kernel 2.6.22; Viele Pakete stammen aus RHEL 4, einige von Fedora, Dag Wieers oder direkt von Endian
Hardware: 19-Zoll-Einschub mit 1 HE, 3 GByte RAM, sieben Ethernet-Interfaces, zwei 80-GByte-Festplatten im Raid-1-Verbund (Mirroring), LCD-Display
Anzahl User: Der Hersteller empfiehlt das Gerät für 50 bis 500 Benutzer
Preis: Gut 8050 Euro für die Appliance zuzüglich 1600 Euro für ein Jahr Standard-Maintenance mit Endian-Network-Zugang und Updates der Software, URL-Blacklisten, Viren- und Spamfilter
|
Keine Geheimnisse - so könnte der Slogan der Firma Endian lauten, die mit der Macro X2 eine UTM-Appliance (Unified Threat Management) entwickelt und vertreibt [1]. Neben der Firewallfunktion soll sie umfassend vor den Gefahren des Internets schützen. Endian empfiehlt die Macro X2 für 50 bis 500 User und ergänzt, dass sie 1,5 Millionen gleichzeitige Verbindungen und 150 000 E-Mails pro Tag verkrafte. Erfahrungsgemäß treffen in Firmen zwischen 100 und 200 Spam-Mails pro Tag und Benutzer ein, was gut zur angegebenen Quantität passt. Endian liefert auch kleinere Hardwarevarianten sowie eine reine Softwarelösung.
Die kleine Südtiroler Firma setzt konsequent auf Open Source (Tabelle 1) und Transparenz. Alle Nachfragen der Tester beantwortete der Hersteller detailliert und erfrischend offen. Admins können sich sogar per Secure Shell als Root in die Appliance einloggen und alles untersuchen oder die Konfiguration ändern. Dank der integrierten Web-Konfigurationsoberfläche sind SSH-Logins gar nicht nötig. Andere Hersteller vernageln dagegen ihre UTM-Appliances mit der Entschuldigung, dass sie dem Endkunden dies oder jenes erleichtern wollen. Die Vermutung liegt dann nahe, dass diese Geheimniskrämerei den eigenen Consultants mehr Arbeit verschaffen soll.
|
Paket
|
Version
|
|
Amavisd-New
|
2.5.4
|
|
Bridge-Utils
|
1.0.6
|
|
Clam AV
|
0.93.1
|
|
Conntrack-Tools
|
0.9.5
|
|
Cyrus-SASL
|
2.1.19
|
|
Dansguardian
|
2.9.9.3
|
|
Ebtables
|
2.0.8
|
|
Freeradius
|
1.1.7
|
|
Havp
|
0.88
|
|
IPtables
|
1.3.8
|
|
IPTstate
|
1.4
|
|
Kernel
|
2.6.22.19
|
|
Krb5-Libs
|
1.3.4
|
|
Logwatch
|
7.3.6
|
|
OpenSSH
|
3.9p1
|
|
OpenSSL
|
0.9.7a
|
|
Openswan
|
2.4.11
|
|
OpenVPN
|
2.1
|
|
P3scan
|
2.3.2
|
|
Pax
|
3.0
|
|
Snort
|
2.8.2
|
|
Squid
|
2.6.STABLE18
|
Endian bietet sogar eine Community-Version der Firewall an, die sich jeder kostenlos herunterladen kann. Diese Variante unterscheidet sich nur wenig von der Software, die auf der kommerziellen Appliance läuft: Ihr fehlen lediglich das VLAN-Tagging, die WLAN-Hotspot-Funktion sowie der Support durch den Endian-Helpdesk.
IPcop und Turbogears
Ursprünglich setzte die Endian-Firewall auf der IPcop-Firewall-Distribution [2] auf, die ihrerseits von einer frühen Version der Smoothwall [3] abstammt. Endian gibt an, gegenwärtig nur noch ein Fünftel des IPcop-Code zu verwenden, und will mit der kommenden Version 3.0 völlig IPcop-frei werden. Einen genauen Zeitplan gibt es dafür wohl noch nicht, der Hersteller peilt aber Mitte 2009 an. Zusätzlich will Endian in Version 3.0 vollständig von Perl-CGIs auf das mächtige Webframework Python Turbogears umstellen [4].
IPcop ist LFS-basiert (Linux From Scratch, [5]). Folglich ist es selbst bei kleinen Änderungen erforderlich (etwa bei Sicherheitspatches), die Distribution stundenlang neu zu kompilieren. Endian setzt daher RPM-Pakete ein, um dieses Wartungsproblem zu lösen.
Die Firewallfeatures der Endian-Appliance ähneln noch denen von IPcop. Im Manual heißt es dazu: "Endian borrows IPCOP\'s idea of different zones." Es gibt vier Zonen: Rot, Blau, Grün und Orange. Die grüne Zone entspricht trusted (also dem internen LAN), die rote Zone ist untrusted (Internet oder andere als unsicher betrachtete Netzwerke), die orangefarbene Zone ist die DMZ und die blaue Zone der WLAN-Hotspot.
Bunte Zonen
Zu einer Zone können ein oder mehrere Interfaces gehören. Physikalisch hat die Appliance sieben Stück und per VLAN-Tagging verwaltet sie viertausend virtuelle Interfaces. Mehr als die vorgegebenen vier Zonen sind aber leider nicht möglich. Die Grundeinstellung der Firewall legt fest, ob Netzwerkverbindungen auch innerhalb einer Zone oder zu einer anderen Zone erlaubt sind (Abbildung 1).
|
Abbildung 1: Welche Zone mit welchen anderen Zonen wie kommunizieren darf, bestimmt der Admin in der Endian-Firewall an zentraler Stelle.
|
Leider sind Zonen- und Netzwerkkonfiguration nur per Wizard zu ändern, der neben Zonen und Netzwerkkarten noch manches mehr abfragt. Das ist viel zu aufwändig, um nur ein neues Interface einzupflegen oder eine Subnetzmaske zu ändern, und erzeugt auch noch 20 Sekunden Downtime beim Restart der Services. Für anspruchsvolle Umgebungen, etwa mit E-Commerce oder vielen VPN-Usern, sind solche Aussetzer nicht akzeptabel.
| Whitepaper |
|---|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
789,
19.08.2009 05:10
Der Artikelbezieht sich auf Software Release 2.2 - Sie haben aber Ihre Probleme mit Version 2.1- Probleme die in Version 2.2 behoben sind.
Frank Fischer,
07.08.2008 07:15
ich muss sagen das mich die Endian Firewall in der 2.1 Version in der Community Variante von anfang an überzugt hat.
Nun habe ich eine Software Appliance bei einem Kunden in Betrieb, die Community in meiner eigenen Firma und eine weitere in einem Gastro Betrieb für einen WLAN HotSpot ( Community ist ohne HotSpot Funktion, jedoch ist der Betrieb dennoch möglich da keine Kontrolle oder derartiges von Nöten ist ) ich bin rundum zufrieden! Auch wenn es hier und da mal beim Einrichten Probleme gibt lassen die sich aber dennoch entsprechend Lösen.
Markus Stroink,
05.08.2008 16:05
wie testen Sie bloß, dass Sie nicht merken, dass die Endian Trojaner hineinlässt, wenn man Mails per POP3 abholt? Zudem stürzen alle Nase lang die Dienste ohne Anzeige ab. Insbesondere die Proxy- und der Inhaltsfilter versagen oft Ihren Dienst. Ich habe 2 Endians im Einsatz und die Mängelliste wird von Endian nicht abgearbeitet.