© msw, Fotolia.com

Die Südtiroler Firma Endian stattet ihre grasgrün lackierte Firewall-Appliance mit allerlei Sicherheitstechniken aus. Wie gut sie sich in der Praxis bewähren, zeigt dieser Test.

Keine Geheimnisse – so könnte der Slogan der Firma Endian lauten, die mit der Macro X2 eine UTM-Appliance (Unified Threat Management) entwickelt und vertreibt [1]. Neben der Firewallfunktion soll sie umfassend vor den Gefahren des Internets schützen. Endian empfiehlt die Macro X2 für 50 bis 500 User und ergänzt, dass sie 1,5 Millionen gleichzeitige Verbindungen und 150 000 E-Mails pro Tag verkrafte. Erfahrungsgemäß treffen in Firmen zwischen 100 und 200 Spam-Mails pro Tag und Benutzer ein, was gut zur angegebenen Quantität passt. Endian liefert auch kleinere Hardwarevarianten sowie eine reine Softwarelösung.

Die kleine Südtiroler Firma setzt konsequent auf Open Source (Tabelle 1) und Transparenz. Alle Nachfragen der Tester beantwortete der Hersteller detailliert und erfrischend offen. Admins können sich sogar per Secure Shell als Root in die Appliance einloggen und alles untersuchen oder die Konfiguration ändern. Dank der integrierten Web-Konfigurationsoberfläche sind SSH-Logins gar nicht nötig. Andere Hersteller vernageln dagegen ihre UTM-Appliances mit der Entschuldigung, dass sie dem Endkunden dies oder jenes erleichtern wollen. Die Vermutung liegt dann nahe, dass diese Geheimniskrämerei den eigenen Consultants mehr Arbeit verschaffen soll.

Endian bietet sogar eine Community-Version der Firewall an, die sich jeder kostenlos herunterladen kann. Diese Variante unterscheidet sich nur wenig von der Software, die auf der kommerziellen Appliance läuft: Ihr fehlen lediglich das VLAN-Tagging, die WLAN-Hotspot-Funktion sowie der Support durch den Endian-Helpdesk.

IPcop und Turbogears

Ursprünglich setzte die Endian-Firewall auf der IPcop-Firewall-Distribution [2] auf, die ihrerseits von einer frühen Version der Smoothwall [3] abstammt. Endian gibt an, gegenwärtig nur noch ein Fünftel des IPcop-Code zu verwenden, und will mit der kommenden Version 3.0 völlig IPcop-frei werden. Einen genauen Zeitplan gibt es dafür wohl noch nicht, der Hersteller peilt aber Mitte 2009 an. Zusätzlich will Endian in Version 3.0 vollständig von Perl-CGIs auf das mächtige Webframework Python Turbogears umstellen [4].

IPcop ist LFS-basiert (Linux From Scratch, [5]). Folglich ist es selbst bei kleinen Änderungen erforderlich (etwa bei Sicherheitspatches), die Distribution stundenlang neu zu kompilieren. Endian setzt daher RPM-Pakete ein, um dieses Wartungsproblem zu lösen.

Die Firewallfeatures der Endian-Appliance ähneln noch denen von IPcop. Im Manual heißt es dazu: “Endian borrows IPCOP\’s idea of different zones.” Es gibt vier Zonen: Rot, Blau, Grün und Orange. Die grüne Zone entspricht trusted (also dem internen LAN), die rote Zone ist untrusted (Internet oder andere als unsicher betrachtete Netzwerke), die orangefarbene Zone ist die DMZ und die blaue Zone der WLAN-Hotspot.

Bunte Zonen

Zu einer Zone können ein oder mehrere Interfaces gehören. Physikalisch hat die Appliance sieben Stück und per VLAN-Tagging verwaltet sie viertausend virtuelle Interfaces. Mehr als die vorgegebenen vier Zonen sind aber leider nicht möglich. Die Grundeinstellung der Firewall legt fest, ob Netzwerkverbindungen auch innerhalb einer Zone oder zu einer anderen Zone erlaubt sind (Abbildung 1).

Abbildung 1: Welche Zone mit welchen anderen Zonen wie kommunizieren darf, bestimmt der Admin in der Endian-Firewall an zentraler Stelle.

Leider sind Zonen- und Netzwerkkonfiguration nur per Wizard zu ändern, der neben Zonen und Netzwerkkarten noch manches mehr abfragt. Das ist viel zu aufwändig, um nur ein neues Interface einzupflegen oder eine Subnetzmaske zu ändern, und erzeugt auch noch 20 Sekunden Downtime beim Restart der Services. Für anspruchsvolle Umgebungen, etwa mit E-Commerce oder vielen VPN-Usern, sind solche Aussetzer nicht akzeptabel.

Highend-Feature

Endians Zonen-Ansatz ist im Highend-Bereich zum Beispiel in den ISG-Firewalls von Juniper zu finden. Er macht es möglich, Regeln an logische Gruppen zu binden (etwa Personal, Verkauf, Lager) und nicht zwingend an IP-Adressen. Zusammen mit dem VLAN-Tagging und Routing ist es zum Beispiel möglich, drei Netzwerkinterfaces der gleichen Zone zuzuordnen, aber jedem Interface eine andere IP-Adresse, Netzmaske und einen virtuellen Router zu geben.

Die Endian-Firewall unterstützt zwar keine virtuellen Router, kann in der Topologie in Abbildung 2 aber folgende Funktionen erfüllen:

• Kommunikation innerhalb der einzelnen Zonen kontrollieren
• Kommunikation von und zu einer Zone (etwa DMZ ins Internet) mit
  den gleichen Regeln kontrollieren
• Zusätzliche Kontrollen auf Basis der IP-Adresse und
  gegebenenfalls Netzwerkmaske durchführen

Die Firewall benutzt intern IPtables. Zurzeit gibt es kein Repository mit Objekten und Gruppen, die der Admin in mehreren Regeln erneut verwenden könnte. Laut Auskunft des Herstellers stehen Objekte und Gruppen auf der Roadmap für Version 3.0.

Abbildung 2: Diese typische Topologie beim Einsatz der Endian-Firewall zeigt, wie flexibel sich Interfaces den Zonen zuordnen lassen. Die orangefarbene Zone besteht aus zwei VLANs und in der blauen Zone erlaubt der WLAN-Hotspot beliebige IPs, die er per NAT zusammenführt.

Beim HTTPS-Login in das Admin-Interface benutzt Endian ein selbst signiertes Zertifikat. Außer über die Kommandozeile gibt es keine Möglichkeit, einen korrekten Certificate Signing Request (CSR) zu generieren und ihn von einer externen oder internen CA (Certificate Authority) signieren zu lassen.

Die beiden VPN-Varianten OpenVPN und IPsec hat Endian schlecht aufeinander abgestimmt, was vor allem beim Umgang mit Zertifikaten stört. Zwar kann das OpenVPN-Modul ein Root-CA-Zertifikat generieren, das IPsec-Modul weiß davon aber nichts. Wer unter IPsec mit Zertifikaten arbeiten will, muss sie von einer externen CA ausstellen lassen und als PKCS#12-Datei importieren. Die Unterschiede erklären sich daraus, dass das IPsec-Modul im Gegensatz zu OpenVPN noch auf IPcop basiert.

Laufzeit der Zertifikate

Endian setzt die Laufzeit seiner Zertifikate pauschal auf 16 Jahre. Für ein CA-Zertifikat liegt das im Rahmen des Üblichen, bei den damit ausgestellten Zertifikaten jedoch nicht. Je länger ein Schlüssel gilt, desto höher die Wahrscheinlichkeit, dass er kompromittiert wird. Zertifikate haben im Gegensatz zu Preshared Keys eine definierte Lebensdauer, diesen Vorteil sollte Endian auch nutzen.

Während die Masken zum Einrichten eines IPsec-VPN unnötig kompliziert und unverständlich ausfallen, ist die OpenVPN-Implementierung deutlich übersichtlicher. Im einfachsten Fall erhalten die Clients ein selbst signiertes Zertifikat, das mit Username/Passwort-Authentifizierung arbeitet. Im Test war die Konfiguration in einer halben Minute erledigt. Endian hat sogar ein eigens Client-GUI entwickelt für Ubuntu (».deb«), Fedora 7 (».rpm«), Mac OS X Tiger (».dmg«, Abbildung 4) und Windows (».exe«). Das Programm ist in Python und Wx-Windows implementiert und kontrolliert ein OpenVPN-Binary ab Version 2.0.

Scharfer Hotspot

Endian liefert die Macro X2 mit einem sehr brauchbaren Hotspot-Feature aus, das Chillispot [6] als Captive Portal verwendet und zusätzlich Freeradius und PostgreSQL integriert. Der Hotspot ist eine Eigenentwicklung von Endian und basiert nicht auf der Zone-CD oder anderen Open-Source-Hotspots.

Der Endian-Admin definiert das blaue Netzwerk-Interface als WLAN-Hotspot-Interface und patcht dahinter ein offenes Wireless-Netzwerk. Anschließend aktiviert er den Hotspot, er funktioniert wie von vielen Hotels und öffentlichen Accesspoints bekannt: Der Benutzer findet die offene SSID (Service Set Identifier). Der Hotspot leitet den ersten HTTP-Request zu einem Splashscreen um, der die weiteren Schritte erklärt, um Zugang zum Internet zu erhalten.

Da nicht jeder Hotspot-Betreiber Kreditkartenzahlungen online entgegennehmen kann (besonders kleinere Betriebe wie Bäckereien, Waschsalons oder Biergärten) schickt der Endian-Hotspot den Benutzer zur Rezeption/Kasse, wo er bezahlen kann und einen Usernamen sowie ein Passwort erhält. Beliebt sind hierfür kleine Thermodrucker mit einem Kassenbeleg-artigen Format. Der Endian-Hotspot kontrolliert die verbleibende Onlinezeit. Zusätzlich gibt es für den Hotspot ein Json-API [7], mit dessen Hilfe andere Applikationen zum Beispiel Abrechnungsdaten austauschen oder Accounts zentral synchronisieren können.

Interessanterweise schafft es Endian mit Hostrouten und trickreichen ARP-Einträgen, dass der Hotspot im WLAN jede IP-Adresse akzeptiert. Selbst wenn jemand eine IP statisch eingetragen hat – bei Firmen-Notebooks ist das häufig der Fall -, aber nicht die notwendigen Rechte auf seinem Laptop besitzt, um DHCP zu aktivieren oder die IP zu ändern, kann er trotzdem mit dem Endian-Hotspot ins Internet. Erst wenn zwei Notebooks die identische statische IP verwenden möchten, scheitert das Konzept.

UTM-Features

Beim Test der weiteren UTM-Funktionen fiel erneut die mangelnde Integration einzelner Module auf. Benutzer, die der Admin im OpenVPN-Modul anlegt, kann er für den Webproxy nicht wiederverwenden, er muss alle Accounts doppelt eintragen. Das stört auch den User, der sich zwei Passwörter merken muss. Für kleine Betriebe mag das noch angehen, im Enterprise-Markt jedoch nicht. Der Hersteller verspricht für Version 3.0 mehr Einheitlichkeit und Usability.

Am Proxy und am Contentfilter selbst gibt es aber nichts auszusetzen. Alle nötigen Features sind vorhanden und funktionieren tadellos: transparent oder explizit, Benutzerauthentifizierung, Viren- und Contentfilter und vieles mehr, sogar die Datenmenge, die ein Benutzer maximal hochladen darf, kann der Admin begrenzen. Das vermeidet, dass ein Trojaner im Hintergrund ohne Wissen des Benutzers massenhaft Firmendokumente per HTTP nach Hause schickt.

Der eingebaute Mailserver ist für den Enterprise-Markt zu dünn. Er kennt zum Beispiel keine Aliases und kann interne E-Mail-Adressen nicht in externe umschreiben. Quarantänebereiche, die Nutzer per HTTP erreichen könnten, gibt es auch nicht. Es empfiehlt sich daher, möglichst einen eigenen Mailserver aufzusetzen. Dank seiner Greylisting-Option eignet sich der Endian-Mailserver aber gut als Spamfilter, er kann zudem öffentliche Blacklists verwenden. Bei einem kurzen Test ohne Greylisting erkannte die Appliance immerhin 85 Prozent des eingehenden Spam.

Zu den positiven Seiten gehört eindeutig auch die DHCP-Konfiguration. ISC-DHCP-geplagte Admins wird freuen, dass die Endian-Firewall alle wichtigen Funktionen in einem einfachen und übersichtlichen GUI zusammenfasst.

Hardware

Bereits beim Auspacken überrascht Endians UTM-Appliance durch ihre schöne Pulverlackierung und das grüne Design, das an Kawasaki-Motorräder erinnert. Aufgeschraubt offenbart das Gerät die beste und leistungsfähigste Firewallhardware, die den Linux-Magazin-Testern in den letzten zwölf Monaten vorlag. Sie hat eine schnelle Intel-CPU Core2Duo 6600 mit 2,4 GHz sowie 4 GByte DDR2-667-Non-ECC-RAM (PC2-5300). ECC-RAM ist den Testern bisher noch in keiner Appliance begegnet. Im Gegensatz zu anderen Appliances (etwa Edenwall [9] oder dem MSM VPN Router [11]) hat die Endian-Appliance keine Compact-Flash-Karte, sondern arbeitet mit zwei 80 GByte großen SATA-Platten (Laptop-HDs von Seagate mit 7200 RPM), die in der Performance eventuell etwas unterhalb einer Solid-State-Disk liegen. Der Hersteller hat die Platten als Raid-1 vorkonfiguriert. Die Appliance hat leider nur ein Netzteil sowie eine serielle COM-Schnittstelle (Terminal) und zwei USB-Anschlüsse. Das Motherboard sieht aufgeräumt und professionell aus. Auch die Luftführung von den Ventilatoren in den Innenraum der Appliance ist mit zusätzlichen Blechen gut umgesetzt (in Abbildung 3 sind die Bleche abgenommen). Wie auf dem Appliance-Markt allgemein üblich setzt auch Endian auf einer handelsüblichen Plattform auf, hier Axiomtek NA-820. Bei deren Auswahl hat Endian ein glückliches Händchen bewiesen. (Norbert Landowski) Abbildung 3: Das Innenleben der Endian Firewall-Appliance Macro X2 überzeugt durch ordentlich verbaute, leistungsfähige Komponenten wie der Core2Duo-CPU von Intel und dem PC2-5300-RAM.

Endian Network

Wer mehr als nur eine Firewall zu verwalten hat, wünscht sich schnell eine gemeinsame Managementplattform statt sich bei jedem Gerät einzeln anzumelden. Das Endian Network implementiert ein solches Metamanagement. Wer das Red Hat Network kennt, wird schnell mit dem Endian Network vertraut sein.

Von ihm aus kann sich der Admin zu jeder seiner Appliances verbinden und diese auch direkt verwalten. Voraussetzung dafür ist, dass er vorher die Option »Allow Access from Endian Network« auf der Appliance einschaltet. Bei aktivem Endian Network (Abbildung 5) erzeugt die Firewall einige implizite Regeln, die den Zugriff gestatten. Ein Klick auf den Button »Show System Rules« unter dem Regelwerk verrät dem Admin, was genau seine Firewalls filtern.

Clever gelöst hat Endian den Zugang vom Endian Network aus: Es sind keine Inbound-Firewallregeln nötig. Die Firewall verbindet sich selbst per Chatprotokoll mit dem Endian-Network-Server und bleibt konstant damit verbunden. Erst wenn der Admin durch das Endian Network per SSH oder Web auf die Appliance zugreifen möchte, gibt die Firewall per SSH-Reverse-Proxy einen lokalen Port für den Remote-Zugang frei. Von außen ist kein Port der Firewall direkt erreichbar, nur der Weg durch den Tunnel ist offen. Diese Technik funktioniert auch, wenn sich die Firewall hinter einem NAT-Gateway versteckt.

Abbildung 4: Das OpenVPN-GUI von Endian funktioniert auf Linux, Windows und – hier abgebildet – Mac OS X. Ein eigenes Profil ist damit schnell eingerichtet.

Abbildung 5: Das Endian Network verwaltet alle Firewalls eines Admin – im Test gab es nur das eine hier gelistete Gerät. Die Network-Oberfläche hat Zugriff auf alle Einstellungen der Firewall, sogar ein SSH-Login ist auf diesem Weg möglich.

Oberes Mittelfeld

Endian überzeugte im Test durch den vorbildlichen Umgang mit Open Source und die Offenheit des Herstellers. Der WLAN-Hotspot, das Endian Network und die OpenVPN-Implementierung zeigen, was in dem Produkt steckt, auch die Hardware der Appliance ist tadellos (siehe Kasten “Hardware”). Leider bleiben etliche Ecken und Kanten, vor allem die mangelnde Integration der Module behindert den Einsatz in großen Umgebungen. Für Version 3.0 verspricht Endian viele grundlegende Verbesserungen.

Im Vergleich mit früheren Tests zeigt sich die Endian-Appliance weniger ausgereift und stimmig als das Astaro Security Gateway [8], platziert sich aber oberhalb der Limes MF [10]. Wer sich regelmäßig über die Geheimniskrämerei vieler Hersteller ärgert und genau wissen will, wie seine Firewall funktioniert, ist mit der Endian-Firewall bestens bedient. (fjl)