IPFire ist eine Distribution, die ebenfalls Linux als Plattform verwendet. Die Entwickler haben ein System nach dem Baukastenprinzip entwickelt, das individuell auf die Sicherheitsbedürfnisse des Netzwerks ausgelegt ist und sich dank seiner hohen Flexibilität zudem perfekt in jede Umgebung integrieren lässt.
Heutzutage zieht Linux die Aufmerksamkeit aller auf sich. Sie findet sich auf handelsüblichen Routern oder WLAN Access Points, Mobiltelefonen, Computersystemen (Desktops und Server) oder ist Thema anderer Computerzeitschriften. zusammen. Es ist überall! Aber ist das nicht immer trivial? Das ändert sich jetzt!
IPFire ist eine Distribution, die ebenfalls Linux als Plattform verwendet. Die Entwickler haben ein System nach dem Baukastenprinzip entwickelt, das individuell auf die Sicherheitsbedürfnisse des Netzwerks ausgelegt ist und sich dank seiner hohen Flexibilität zudem perfekt in jede Umgebung integrieren lässt. Das Ergebnis ist ein ideales System, das auf gängiger Hardware wie dem Intel Pentium der ersten Generation oder modernen Multiprozessorsystemen ausgeführt werden kann. Es gibt eine spezielle Unterstützung für energiesparende Mini-ITX-Systeme, wodurch die Leistung deutlich gesteigert wird.
Durch die sorgfältige Auswahl stabiler Software konnten Entwickler eine Sicherheit bieten, die ein gewöhnlicher Router nicht garantieren kann. Der speziell entwickelte Paketmanager (Pakfire) ermöglicht es (auch unerfahrenen Benutzern), Updates zu installieren oder das System mit einer Vielzahl von Paketen nach ihren spezifischen Bedürfnissen abzustimmen.
Sie haben bereits mehrere Linux-Router! Viele von ihnen sind kommerziell entwickelt und bieten einen ziemlich bescheidenen Funktionsumfang. Dies sind hauptsächlich textbasierte Systeme für sehr erfahrene Benutzer. Selten gibt es hier ähnliche Grafiken oder Unterstützungen. Daher hat sich das IPFire-Team zur Aufgabe gemacht, ein System zu entwickeln, das zwar stabil und sicher ist, aber einfach zu handhaben ist und keine Softwarekenntnisse oder Konsolen erfordert. Dies wurde mit der finalen Version 2.1 erreicht.
Die Entstehung
Die erste stabile Version des Projekts gibt es seit 2005. Damals entwickelte der Entwickler einige IPCop-basierte Funktionen mit dem Ziel, IPCop zu einer Mehrwert-Firewall auszubauen. Samba-basierter Dateiserver, Voice-over-IP-Lösung mit Asterisk und Micro QoS sind ebenfalls enthalten. LPR-PrinterSpooler (LPR-ng), der hilft, parallel angeschlossene Drucker zu betreiben, ist auf Anfrage ebenfalls erhältlich. Diese Idee wurde nach ihrer Veröffentlichung gut angenommen. Gerade für viele Heimverwalter oder kleine und mittelständische Unternehmen, die sich einen professionellen Router (z. B. Cisco) + Server (Microsoft Windows) nicht leisten können, ist diese All-in-One-Lösung eine zufriedenstellende Lösung. Mit dem schnellen Wandel in der Computerbranche und dem wachsenden Multimedia-Netzwerk ist jedoch die Nachfrage nach veraltetem IPFire gestiegen. Land erfordert eine neue Version!
Also saßen der Entwickler und seine wachsende Zahl dynamischer Assistenten an ihren Rechnern und überlegten, wie man IPFire neu gestaltet. Es wurde beschlossen, etwas Neues zu schaffen. Das Ergebnis war ein Bruch mit dem ursprünglichen IPCop-Projekt.
IPFire-Version 2
Ein System, das jetzt auf Scratchs aktuellem Linux und Kernel 2.6 (leicht gepatcht) basiert und mehr Hardwareunterstützung, mehr Leistung und umfassendere Netzwerkfunktionen bietet als das ältere IPFire 1.4.9-basierte IPCop. Hinter den Kulissen hat es also eine Entwicklung vom 2.4er Kernel zum 2.6er Kernel gegeben, was viel Arbeit bedeutet, aber auch die oben erwähnten wichtigen Vorteile bietet. Auf Basis dieses stabilen und aktuellen Systems wurden nach und nach die alten Funktionen wiederhergestellt und neue hinzugefügt.
Dabei spielt die Topologie des privaten Netzes eine wichtige Rolle. Neben separaten Netzwerksegmenten (LAN DMZ Internet) gibt es ein zugangskontrolliertes Segment, beispielsweise für WLANs oder sicherheitskritische Clients. Dadurch hat man die Möglichkeit zu definieren welche Clients nach Regeln den Internetzugang nutzen dürfen.
Das Basispaket setzt sich zusammen aus:
- Stateful Inspection Firewall, die auf der Netfilter-Architektur von Linux beruht
- Intrusion Detection System mit Guardian-Erweiterung zum IPS-System
- Webproxy mit Content-Filter und »Update-Booster« (welcher Software-Updates großer Softwarepakete wie z.B. Microsoft Windows oder diverser Virenscanner beschleunigt und Traffic minimiert)
- VPN über IPSec und/oder OpenVPN (den vollständigen Software- und Funktionsumfang kann man im Anhang einsehen.)
Zu den neuen Funktionen gehört auch eine ausgehende Firewall, die mit verschiedenen Richtlinien arbeitet und auch die Möglichkeit bietet, Peer2Peer-Verkehr per Knopfdruck zu sperren. Wer trotz hohem Traffic ein unterbrechungsfreies Telefonat per Voice-over-IP führen will, wird das Quality-of-Service (QoS) sehr willkommen heißen. Es ist durch einen Assistenten einfach in der Web-Oberfläche zu bedienen.
Erstmals gibt es die Möglichkeit, per Type-of-Service markierte Pakete in die einzelnen Klassen zu sortieren. Dies ist besonders nützlich, da einige Voice-over-IP-Telefone (z. B. Cisco) einen RTP-Datenstrom kennzeichnen können, sodass QoS ihn sofort identifizieren kann. Die Liste der Funktionen hat sich im Laufe der Zeit über diesen Bereich hinaus entwickelt. Hier also ein kleiner Ausschnitt der Plugins, die IPFire auch ideal für den Einsatz als Homeserver machen. Inbegriffen:
- Mailserver (mit Antiviren- und Antispamfilter)
- Andere Voice-over-IP-Funktionen (Asterisk PBX und Teamspeak Server)
- Broadcast-Server für MP3-Sammlung
- Integrieren Sie ganz einfach ein externes USB-Laufwerk oder Firewire-Laufwerk per Knopfdruck
Es ist eine kleine Vorschau dessen, was die Entwickler bisher mit dem Projekt gemacht haben. Die vollständige Liste mit einigen technischen Details finden Sie im Anhang.
Zukunftsvision
Software unter GPLv3 sucht immer nach Personal, um andere große Projekte in neueren Versionen zu veröffentlichen. Leute, die Linux kennen und Fehler finden, werden jetzt hinzugezogen, ebenso wie Forenadministratoren, Wiki-Autoren und Web- oder Grafikdesigner, um die Sammlung zu erweitern. Wir freuen uns immer über frische Ideen für neue oder ähnliche Erweiterungen. Kontaktieren Sie einfach das Entwicklungsteam unter Developers@ipfire.org.
Das Projekt ist unter www.ipfire.org zu finden und hat einen eigenen IRC-Kanal unter irc.freenode.net (#ipfire).
Sicherheitseinrichtungen
- Stateful Inspection Firewall, die auf der Netfilter-Architektur von Linux beruht
- Intrusion Detection System mit Guardian-Erweiterung zum IPS-System
- Filter für ungültige/nicht standardgerechte Pakete
- Eigene Netzwerksegmente für Server (DMZ) und Wireless Lan mit angepassten Richtlinien
- DoS- und DDoS-Schutz
- Application-Proxies für HTTP und FTP (mit Zugangskontrolle und Content-Filter) und DNS
- Eingehende sowie ausgehende Paketfilterung
Netzwerkdienste
- DHCP-Server
- Dynamischer DNS-Dienst
- NTP-Server
HTTP-Proxy
- Zwischenspeicherung von Web-Inhalten
- Inhaltsfilter auf Basis von Blocklisten und manuell festlegbaren Listen
- Zeitgesteuerte Sperrung des Zugangs für einzelne Nutzer oder ganze Gruppen
- Vereinfachte Verwaltung für Klassen- oder Konferenzräume
- Erweiterte Speicherung von Updates für Microsoft Windows, Symantec Antivirus, Adobe-Produkten, Avira Antivir und Avast Antivirus
- Authentifizierung am LDAP-,identd-, Radius- oder Windows-Server oder einer lokalen Nutzerdatenbank
- Transfer-Limitierung (Geschwindigkeit und/oder Volumen)
Virtuelle Private Netzwerke
IPSec/OpenSwan 2
- Netz-zu-Netz oder Netz-zu-Host (Roadwarrior)
- IKE – Pre-Shared Key oder X.509-Zertifikate aus integrierter oder externer CA
- Automatische Erkennung mit nötigem Wiederaufbau der Tunnel-Verbindung und Dead-Peer-Detection
- NAT-Traversal
- Verschlüsselung durch AES, 3DES, Blowfish, Serpent oder Twofish
- HMAC: SHA1, SHA256, SHA384, SHA512
- Echtzeit-Kompression
OpenVPN
- Host-zu-Netz (Roadwarrior)
- SSL-basierte Verschlüsselung: AES, Blowfish, Twofish, 3DES…
- Echtzeit-Kompression
- Fertige Clientpakete, damit eine Konfiguration am Client vereinfacht wird
- Tunnel über multiples NAT
- PPTP-Passthrough
Network Address Translation (NAT)
- Portweiterleitung
- NAT zwischen den voneinander getrennten Subnetzen
Unterstützte Verbindungstypen
- Ethernet-Verbindungen mit 10, 100 oder 1000 Mbit/s mit statischer IP-Adresse oder über das DHCP-Protokoll konfiguriert
- ADSL/SDSL mit PPPoE
- Automatische Wiederverbindung nach Trennung durch den Provider
- Wiederverbindung nach Zeitplan steuerbar
Traffic-Priorisierung
- Quality of Service
- Level7-Filterung
- Setzen und Erkennen von Type-of-Service-Bits
Konfiguration
- SSL-verschlüsselte Web-Administrations-Oberfläche
- SSH-Server
Monitoring/Logging
- Grafische Überwachung des Systems in der Weboberfläche
- Einsehbare Log-Dateien mit automatischer Zusammenfassung der wichtigsten Ereignisse
- Exportfunktion der Logdateien (einzeln oder als gesamtes Backup)
DNS-Proxy
- DNS-Forwarding
- lokale Host-/Zonen-Konfiguration
Addons
- Samba-Dateiserver
- Tripwire
- MPFire – MP3-Jukebox
- Asterisk Voice-over-IP Server
- Gnump3d – MP3 Streaming Daemon
- Appeljuice und Rtorrent
- Konsolenclients für Sicherheitstests
- ClamAV
- Qemu
- …