Highend-Feature
Endians Zonen-Ansatz ist im Highend-Bereich zum Beispiel in den ISG-Firewalls von Juniper zu finden. Er macht es möglich, Regeln an logische Gruppen zu binden (etwa Personal, Verkauf, Lager) und nicht zwingend an IP-Adressen. Zusammen mit dem VLAN-Tagging und Routing ist es zum Beispiel möglich, drei Netzwerkinterfaces der gleichen Zone zuzuordnen, aber jedem Interface eine andere IP-Adresse, Netzmaske und einen virtuellen Router zu geben.
Die Endian-Firewall unterstützt zwar keine virtuellen Router, kann in der Topologie in Abbildung 2 aber folgende Funktionen erfüllen:
- Kommunikation innerhalb der einzelnen Zonen kontrollieren
-
Kommunikation von und zu einer Zone (etwa DMZ ins Internet) mit
den gleichen Regeln kontrollieren
-
Zusätzliche Kontrollen auf Basis der IP-Adresse und
gegebenenfalls Netzwerkmaske durchführen
Die Firewall benutzt intern IPtables. Zurzeit gibt es kein Repository mit Objekten und Gruppen, die der Admin in mehreren Regeln erneut verwenden könnte. Laut Auskunft des Herstellers stehen Objekte und Gruppen auf der Roadmap für Version 3.0.
|
Abbildung 2: Diese typische Topologie beim Einsatz der Endian-Firewall zeigt, wie flexibel sich Interfaces den Zonen zuordnen lassen. Die orangefarbene Zone besteht aus zwei VLANs und in der blauen Zone erlaubt der WLAN-Hotspot beliebige IPs, die er per NAT zusammenführt.
|
Beim HTTPS-Login in das Admin-Interface benutzt Endian ein selbst signiertes Zertifikat. Außer über die Kommandozeile gibt es keine Möglichkeit, einen korrekten Certificate Signing Request (CSR) zu generieren und ihn von einer externen oder internen CA (Certificate Authority) signieren zu lassen.
Die beiden VPN-Varianten OpenVPN und IPsec hat Endian schlecht aufeinander abgestimmt, was vor allem beim Umgang mit Zertifikaten stört. Zwar kann das OpenVPN-Modul ein Root-CA-Zertifikat generieren, das IPsec-Modul weiß davon aber nichts. Wer unter IPsec mit Zertifikaten arbeiten will, muss sie von einer externen CA ausstellen lassen und als PKCS#12-Datei importieren. Die Unterschiede erklären sich daraus, dass das IPsec-Modul im Gegensatz zu OpenVPN noch auf IPcop basiert.
Laufzeit der Zertifikate
Endian setzt die Laufzeit seiner Zertifikate pauschal auf 16 Jahre. Für ein CA-Zertifikat liegt das im Rahmen des Üblichen, bei den damit ausgestellten Zertifikaten jedoch nicht. Je länger ein Schlüssel gilt, desto höher die Wahrscheinlichkeit, dass er kompromittiert wird. Zertifikate haben im Gegensatz zu Preshared Keys eine definierte Lebensdauer, diesen Vorteil sollte Endian auch nutzen.
Während die Masken zum Einrichten eines IPsec-VPN unnötig kompliziert und unverständlich ausfallen, ist die OpenVPN-Implementierung deutlich übersichtlicher. Im einfachsten Fall erhalten die Clients ein selbst signiertes Zertifikat, das mit Username/Passwort-Authentifizierung arbeitet. Im Test war die Konfiguration in einer halben Minute erledigt. Endian hat sogar ein eigens Client-GUI entwickelt für Ubuntu (».deb«), Fedora 7 (».rpm«), Mac OS X Tiger (».dmg«, Abbildung 4) und Windows (».exe«). Das Programm ist in Python und Wx-Windows implementiert und kontrolliert ein OpenVPN-Binary ab Version 2.0.
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele
Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
The Role of Open Source in Data Integration
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
789,
19.08.2009 05:10
Der Artikelbezieht sich auf Software Release 2.2 - Sie haben aber Ihre Probleme mit Version 2.1- Probleme die in Version 2.2 behoben sind.
Frank Fischer,
07.08.2008 07:15
ich muss sagen das mich die Endian Firewall in der 2.1 Version in der Community Variante von anfang an überzugt hat.
Nun habe ich eine Software Appliance bei einem Kunden in Betrieb, die Community in meiner eigenen Firma und eine weitere in einem Gastro Betrieb für einen WLAN HotSpot ( Community ist ohne HotSpot Funktion, jedoch ist der Betrieb dennoch möglich da keine Kontrolle oder derartiges von Nöten ist ) ich bin rundum zufrieden! Auch wenn es hier und da mal beim Einrichten Probleme gibt lassen die sich aber dennoch entsprechend Lösen.
Markus Stroink,
05.08.2008 16:05
wie testen Sie bloß, dass Sie nicht merken, dass die Endian Trojaner hineinlässt, wenn man Mails per POP3 abholt? Zudem stürzen alle Nase lang die Dienste ohne Anzeige ab. Insbesondere die Proxy- und der Inhaltsfilter versagen oft Ihren Dienst. Ich habe 2 Endians im Einsatz und die Mängelliste wird von Endian nicht abgearbeitet.