Beschreibung fireBOX I techische Details: Prozessor: Intel Celeron J1900 / 2 GHz ( Quad-­‐Core ) RAM: 2 GB Grafik: Intel HD Graphics Audio: HD Audio (8-­‐Kanal), Realtek ALC887, High Definition Audio LAN: 2 x Gigabit Ethernet Festplatte: 30GB SSD BIOS-­‐Typ: AMI Anschlüsse 1 x PCI; 1 x Mini PCIe 2.0, 2 x 7pin Serial ATA -­‐ 2 Gerät/Geräte, 1 x PS/2-­‐Tastatur; 1 x VGA; 1 x PS/2-­‐Maus; 1 x DVI-­‐D; 4 x USB 3.0; 2 x Seriell; 1 x Audio Line-­‐Out -­‐ mini-­‐jack; 1 x Audio Line-­‐In -­‐ mini-­‐jack; 1 x Mikrofon BIOS-­‐Funktionen: DMI 2.0-­‐Unterstützung, ACPI 2.0a Support, SMBIOS 2.6-­‐Unterstützung, UEFI BIOS, Dual BIOS Hardwareüberwachung: CPU-­‐Kerntemperatur, Gehäusetemperatur, Systemspannung, CPU-­‐Überhitzungsschutz Hardwarefeatures: 3x USB Power Boost, All-­‐Solid-­‐Kondensator-­‐Motherboarddesign, On/Off Charge, One Port One Fuse, Intel Smart Connect Technology, GIGABYTE LAN Optimizer, ESD Protection, Ultra Durable 4 Plus, Clear CMOS Button Allgemein: Netzteil: 60 Watt Stromverbrauch: ca. 14 Watt Farbe: schwarz Abmessungen (H/B/T): 190 x 60 x 250mm Info über die eingesetzte Software auf der Security Appliance/Firewall/UTM: IPFire (mehr dazu auf der Homepage http://www.ipfire.org/features) IPFire wurde mit Augenmerk auf Modularität und einem hohen Level an Flexibilität entwickelt. Es ist kinderleicht verschiedene Konfigurationen zu installieren, wie zum Beispiel eine Firewall, einen Proxy-­‐ Server oder ein VPN-­‐Gateway. Das modulare Design stellt sicher, dass nur exakt die Module laufen, die auch benötigt werden und nichts weiter. Erweiterungen und Updates lasses sich durch einen Paketmanager einfach verwalten und aktualisieren. Das IPFire Entwicklerteam ist sich im Klaren, dass Sicherheit von Anwendungsfall zu Anwendungsfall ganz verschieden aussehen kann und sich auch über die Zeit verändert. Für diesen Fall erlaubt die Modularität und Flexibilität eine einfache Integration in jede bestehende Sicherheitsarchitektur. Nicht zu vergessen ist, dass Einfachheit in der Bedienung eine Schlüsseleigenschaft ist. Wenn all dies im Moment ein wenig viel klingt, so ist ein sinnvoller Einsatz von IPFire schon sofort nach der Installation möglich. Sicherheit Das Hauptaugenmerk von IPFire liegt bei Sicherheit. Gerade bei einem solch umfangreichen Thema gibt es nicht nur einen einzigen Weg, um ein maximales Maß an Sicherheit zu erlangen. Mindestens genauso wichtig ist es für den Netzwerkadministrator seine Bedürfnisse zu verstehen und entsprechend zu handeln. IPFire stellt für diesen Zweck eine Basis bereit, die einzelne Netzwerksegmente nach ihren Sicherheitslevels unterteilt und erlaubt diese anschließend nach eigenen Erfordernissen anzupassen. Eine ebenso hohe Priorität genießt die Sicherheit der modularen Komponenten. Aktualisierungen werden digital signiert, verschlüsselt und können automatisch über das Pakfire Paketmanagement-­‐System installiert werden. Typischerweise ist IPFire direkt mit dem Internet verbunden und macht es somit zu einem Ziel für Hacker und andere Gefahren. Das Paketmanagement-­‐System unterstützt den Administrator darin, sicher zu sein, dass alle wichtigen Lücken gestopft und Fehler in allen eingesetzten Komponenten beseitigt sind. IPFire 2.15 -­‐ Core Update 77 Ab IPFire 2.15 wird der IPFire/Linux-­‐Kernel mit dem grsecurity-­‐Patchset gepatcht. Dies schützt den Kernel proaktiv gegen eine Vielzahl an Attacken -­‐ vornehmlich gegen zero-­‐day-­‐ Exploits in dem ganze Klassen an potentiellen Fehlern und Exploit-­‐Vektoren eliminiert werden. Pufferüberläufe auf dem Stack (stack buffer overflows) sind nahezu unmöglich auszunutzen und strenge Zugriffsrichtlinien verhindern, dass ein Angreifer nach einer Attacke Schaden anrichten kann. Firewall IPFire nutzt eine Stateful-­‐Packet-­‐Inspection-­‐Firewall (SPI), welche auf das Linux Paketfilter-­‐Framework netfilter aufsetzt. Eine Firewall zu verwalten war noch nie so einfach. Da die Konfirguation auch mit vielen Regeln nun immer noch übersichtlich bleibt, ist die Verwaltung der Firewall besonders einfach und auch komplexe Konfigurationen sind möglich ohne die Kontrolle zu verlieren. Zusätzlich zu den oben genannten Policies kann auch der ausgehende Netzwerkverkehr für jedes Segment geregelt werden. Diese Funktion gibt dem Netzwerkadministrator vollständige Kontrolle über das Netzwerk. Pakfire Das IPFire Paketmanagementsystem Vom technischen Standpunkt aus ist IPFire ein schlankes, gehärtetes Firewall-­‐System, welches den Paketmanager Pakfire mitbringt. Die primäre Aufgabe von Pakfire ist es, Systemupdates mit nur einem Klick einspielen zu können. Somit ist es ganz leicht Sicherheitslücken zu schließen und Bugfixes sowie neue Funktionen zu installieren. Dies macht IPFIre sicherer und schneller -­‐ oder einfach: besser. Eine weitere Aufgabe ist es, zusätzliche Addons zu installieren, welche die Funktionen des Systems erweitern. Einige beliebte sind unter anderen: • Datei-­‐ und Druckdienste wie samba und vsftpd • Kommunikationslösungen wie Asterisk • Verschiedene Kommandozeilenhelfer wie tcpdump, nmap, traceroute und viele mehr Pakfire als Buildsystem Das kommende Major-­‐Release von IPFire wird eine neue Generation des Pakfire Paketmanagementsystems mitbringen. Diese ist schneller, sicherer und einfacher zu bedienen. Dazu kommen unzählige neue Funktionen. Eine der neuen Funktionen ist, dass pakfire nun auch als Buildsystem fungiert. Ein auf die IPFire-­‐ Distribution angepasstes Buildsystem hat die Produktivität der Entwickler immens gesteigert. Neue Pakete zu bauen ist nun einfacher und nimmt weniger Zeit in Anspruch. Qualitätssicherung ist jetzt eine Aufgabe für alle. Mehr dazu auf pakfire.ipfire.org. Updates IPFire basiert auf Linux, dem besten Open-­‐Source-­‐Kernel, den es gibt. Ebenso basiert IPFire nicht auf irgendeiner Distribution wie z.B. Knoppix auf Debian basiert sondern wird aus den Sourcen einer großen Anzahl von Paketen gebaut. Dieser Prozess der Entwicklung kostet viel Zeit, gibt allerdings die Möglichkeit nicht von Updatezyklen anderer abzuhängen. Dagegen hat es den Vorteil besonders zuverlässige Versionen eines Softwarepakets auszuwählen und den größten Teil der Distribution daraus aufzubauen. Der Kernel hingegen wird laufend aktualisiert und gepatcht um aktuelle und eine möglichst breite Palette an Hardware zu unterstützen -­‐ und viel wichtiger, Sicherheitsupdates zeitnah zur Verfügung zu stellen. Das macht IPFire zu einem sehr leistungsfähigen und gleichzeitig gehärtetem System. Um dies beizubehalten und kompatibel zu der Vielzahl an Hardware auf dem Markt zu bleiben, werden sogenannte "Core Updates" in einem Abstand von etwa vier Wochen herausgegegen, um gesammelte Patches auszuliefern. Im Falle eines kritischen Sicherheitsproblems in einem der Pakete gibt es Sicherheitsupdates innerhalb weniger als 24 Stunden. Alle Updates können mittels des Paketmanagementsystems eingespielt werden und die Benutzer werden per Email über eben diese informiert. So ist in allen Fällen das Update nach einem einzigen Klick installiert und das System ist wieder gesichert im Internet. Einwahl IPFire ist als Internet-­‐Gateway in der Lage über verschiedene (Einwahl-­‐)Techniken eine Verbindung zum Internet aufzubauen. Es werden alle gängigen Breitbandzugangsarten wie auch mobile Zugänge unterstützt: VDSL VDSL ist die Abkürzung für Very High Data Rate Digital Subscriber Line und bietet in Deutschland derzeit Bandbreiten bis zu 50 MBit/s im Downstream und 10 MBit/s im Upstream. Damit eignet sich VDSL für die Zukunft und bringt auch IPTV mit sich. Mit IPFire kann der herkömmliche Router ausgetauscht werden und auf ein vollwertiges System gesetzt werden, das den IPTV-­‐Stream ins eigene Netz bringt. Selbstverständlich wird auch herkömmliches DSL unterstützt, wobei es sich technisch um ADSL/SDSL PPPoE oder PPPoA handelt. In einigen Ländern ist auch PPTP als Protokoll verbreitet und wird ebenso unterstützt. Ethernet Über Ethernet kann IPFire ebenfalls mit dem Internet verbunden werden und eine IP-­‐ Adresse entweder per DHCP beziehen oder statisch konfiguriert werden. Das wird u.a. bei Verbindungen über Kabel genutzt. 3. Über USB-­‐Modems wird auch jede Art von mobilen Breitbandverbindungen unterstützt, Generation welche bekannt sind unter den Bezeichnungen UMTS, 3G, CDMA, HSDPA oder LTE. Webproxy Der Webproxy in IPFire, die Open-­‐Source-­‐Software Squid, ist der Linux und UNIX-­‐Welt nicht unbekannt und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-­‐Protokoll übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-­‐, HTTPS-­‐ sowie FTP-­‐Inhalte über Squid angefordert werden. • Sicherheit: Der Client fragt nicht selbst, er lässt seinen Proxy fragen. Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung, was einen Vorteil gegenüber einem reinen NAT Router darstellt. • Authentifizierung: Über Access-­‐Listen kann Squid auch veranlasst werden, Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd, Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern der Zugang zum Internet gewährt werden kann. • Kontrolle der Zugriffe: Soll der Internetzugriff nur zu speziellen Tageszeiten oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller Anwendungsbereich dafür sind z.B. Schulen. • Protokollierung: Da jeder Zugriff über den Proxy protokolliert werden kann, bieten sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen. • Bandbreitenmanagement: Das Downloadmanagement lässt eine Kontrolle der Bandbreite für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien, CD-­‐Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen Zonen oder für Hosts in den jeweiligen Zonen. Inhaltsfilter SquidGuard ist ein URL-­‐Filter, der über den Redirektor-­‐Mechanismus an den Proxy angebunden wird. Das Herz stellen sogenannte Blacklists dar, die von offizieller Seite erstellt, eine Reihe von klassifizierten Webseiten enthalten und über das Webinterface automatisch auf dem neuesten Stand gehalten werden. Es stehen unterschiedliche, freie Quellen für vorgefertigte Blacklists zur Verfügung, die erlauben unter anderem jugendgefährdende Inhalte, Shopping-­‐, Warez-­‐, Social-­‐Networking-­‐ oder gewaltverherrlichende Seiten zu filtern. Individuelle Erweiterungen einzelner Domains oder URLs können für Blacklists und ebenso für Whitelists über das Webinterface eingerichtet werden. IPFire bietet auch einen Blacklist-­‐Editor, der das Editieren und erstellen eigener Blacklists über das Webinterface anbietet. Mögliche Anwendungsbereiche für SquidGuard auf dem IPFire sind: • Sperren oder Einschränken spezieller Internet Inhalte in Abhängigkeit von Uhrzeit, Benutzer und verwendetem Rechner. • Verhinderung des Zugriffs auf bestimmte (z.B. jugendgefährdende) Seiten. • Ausblenden von Werbung. Update Accelerator Der Update-­‐Accelerator ist ein System, das Updates für z.B. Betriebssysteme erheblich beschleunigen kann. Dazu werden alle heruntergeladenen Updates zwischengespeichert und bei einem weiteren Download aus dem lokalen Cache ausgeliefert. Bei Service Packs für Microsoft Windows, die oft einige hundert Megabytes haben, lohnt sich dieses Speichern massiv, aber auch Virenscanner und andere Produkte profitieren hiervon und machen ein Update von allen Workstations in der Firma zu einer schnell erledigten Aufgabe. Transparenter Virenscanner Das Paketmanagement bietet das Addon “SquidClamAV” zur Erweiterung an. Somit steht dem Webproxy ein Virenscanner zur Verfügung, der in Echtzeit den Datenverkehr nach Viren mit Hilfe des bekannten ClamAV prüft. Der zusätzliche Schutz zu einem herkömmlichen Virenscanner besteht vor allem darin, dass die Dateien nicht erst auf den Client-­‐Rechner gelangen, bevor der Virenscan ausgeführt werden kann. Potentielle Schädlinge werden vor dem Download durch SquidClamAV geblockt. Kryptographie Kryptographie ist die Basis für viele Dienste wie VPNs und sicherer Kommunikation im Internet. Daher legt IPFire einen besonderen Wert auf dieses Thema. VPN Virtuelle private Netzwerke IPFire kann zu einem VPN-­‐Gateway (virtal private network -­‐ virtuelles, privates Netzwerk) ausgebaut werden, welches Personen mit unterschiedlichem Standort untereinander verbindet. Dies können zum Beispiel Mitarbeiter, Freunde oder Personen sein mit denen man Daten sicher austauschen möchte, aber auch eine Filiale, Außenstelle, wichtige Kunden oder andere Unternehmen mit denen kommuniziert wird. Um sich über verschiedene Technologien verbinden zu können unterstützt IPFire die VPN Protokolle IPsec und OpenVPN. Dies erlaubt dem Administrator große Freiheiten bei der Konfiguration des VPNs. Die Verwendung dieser Protokolle erlaubt es IPFire auch sich mit VPN Endpunkten verschiedenster Hardwarehersteller, wie Cisco, Juniper, Checkpoint, etc. zu verbinden. IPsec IPsec ist ein Standard, der unter den VPN-­‐Technologien weit bekannt ist und im IPv6-­‐Protokoll entwickelt wurde. Da IPv6 allerdings erst langsam seinen Weg in die Welt findet, wurde das IPsec-­‐Protokoll auf IPv4 zurückzuportiert. Im Gegensatz zu den ebenfalls eingesetzten SSL-­‐VPNs gilt IPsec als schwer einzurichten. Diese Hürde wurde in IPFire beseitigt -­‐ zur Verfügung steht ein einfach zu bedienendes User-­‐Interface, in welches man einige Konfigurationsparameter eingibt, welches dann den Rest übernimmt. Ebenso wird automatsich dafür gesorgt, dass die Tunnel geöffnet sind und, dass diese von allein wieder aufgebaut werden, sollte einmal ein Tunnelpartner seine Internetverbindung verlieren. So wird eine sichere und stabile Verbindung zu Filialen, Partnern oder dem Zuhause innerhalb von Minuten eingerichtet und sie ist auch kompatibel zu denen anderer Anbieter. Der hohe Grad der Kompatibilität zu anderen Herstellern wird durch die Verwendung der freien Implementierung strongSwan möglich, welches von Andreas Steffen, einem Professor für Sicherheit in der Kommunikationstechnik und Leiter des Instituts für Internetechnologien und -­‐applikationen an der Universität der angewandten Wissenschaften Rapperswil in der Schweiz entwickelt wird. StrongSwan arbeitet besonders gut mit Produkten wie Microsoft Windows 7, Microsoft Windows Vista und Mac OS X zusammen. OpenVPN Unter den Open Source SSL-­‐VPNs ist OpenVPN ein häufig angetroffener und beliebter Vertreter, dessen einfache Konfiguration über das IPFire-­‐ Webinterface noch einmal erleichtert wird. Die Firewall-­‐ Einstellungen werden von IPFire automatisch geregelt, ebenso werden die benötigten Zertifikate mit wenigen Mausklicks erzeugt und können als kompaktes Client-­‐Paket heruntergeladen, verteilt und mit einem weiteren Klick ausgeführt werden. Durch die hohe Kompatibilität zu anderen Betriebssystemen (Microsoft Windows, Mac OSX, Linux, Android, uvam.) eignet sich OpenVPN bestens zur Anbindung sogenannter Roadwarrior-­‐Clients. Eine leicht zu konfigurierende, durch Zertifikate gesicherte, verschlüsselte Anbindung aus dem Internet auf Firmendaten oder das Zuhause liegende Netzwerk kann nicht nur über Notebooks, sondern unter anderem auch über PDAs, Smartphones oder Tablets hergestellt werden. Doch neben der Anbindung von Laptops und anderen Handgeräten, kann mit OpenVPN auch eine transparente Verbindung zu Filialen, Partnern und für jeden beliebigen anderen Einsatz erstellt werden. Das ermöglicht sicheren Zugriff auf ein gesamtes Netzwerk ohne aufwändige Konfiguration. Einbruchsdetektierung Ein Intrusion Dection System, kurz IDS, dient zur Erkennung von Angriffen gegen Computersysteme oder Computernetze. Dabei analysiert das IDS den Netzwerktraffic und durchsucht diesen nach Angriffsmustern. Wird zum Beispiel ein einfacher Portscan auf ein IPFire-­‐System ausgeführt um angebotene Dienste auszuspähen, dann wird dies sofort erkannt. Ein IPS, Intrusion Prevention System, hat zusätzlich zu der Erkennung die Aufgabe Aktionen auszuführen. Dabei nimmt es Informationen zum Angriff vom IDS entgegen und handelt entsprechend. Bei dem Beispiel des Portscans würde es den Angreifer blocken damit keine Daten mehr ausgetauscht werden. Arbeiten wie in IPFire beide Systeme zusammen nennt man dies ein IDPS (Intrusion detection and prevention system). Ein sehr bekannter Vertreter dafür ist Snort. Das freie Netzwerk Intrusion Dection System (NIDS) analysiert den Datenverkehr und sofern es etwas Auffälliges findet, logt es dieses. IPFire bietet die Möglichkeit die erkannten Angriffe im Webinterface detailliert durchzusehen. Automatische Gegenmaßnahmen verrichtet in IPFire Guardian, was optional nachinstalliert werden kann. Somit ist ein IDPS ein sinnvoller Zusatz zum herkömmlichen Paketfilter um intelligente Entscheidungen über einkommende Daten zu treffen. Quality of Service Ein Quality of Service, oder kurz QoS, ist in der Lage die Qualität eines Dienstes über eine Internetleitung sicherzustellen. Das bedeutet, dass auf einer stark belasteten Internetverbindung einem Dienst, wie zum Beispiel einem VoIP-­‐Telefonats, ein gewisses Maß an Bandbreite zugesichert werden kann, damit alle Sprachdaten ohne Verzögerung und verlustfrei übertragen werden können. Das geht allerdings zu Lasten der anderen Datenströme auf der Leitung, welche es aber durchaus vertragen, dass Daten langsamer übertragen werden, wie z.B. ein Upload auf einen FTP-­‐Server. Ein QoS bietet aber nicht nur bei Echtzeitdiensten Vorteile und macht sie besser benutzbar, sondern bringt auch kleine Verbesserungen mit, die sich angenehm bemerkbar machen. Dazu gehören unter anderem: • Schnellerer Verbindungsaufbau: Verbindungen werden immer rasch aufgebaut und dann nach Dienst eingeordnet und wenn möglich abgebremst. Das verbessert das Arbeitsgefühl. • Stabilere Verbindungen: da jedem Dienst ein Mindestmaß an Bandbreite zugesichert wird. Für die Klassifizierung der Pakete, die das System wissen lässt mit welcher Art von Daten es zu tun hat, kommt ein Layer-­‐7-­‐Filter zum Einsatz. Dabei wird auch der Inhalt und nicht nur Quell-­‐Ports, -­‐IPs und Ziel-­‐ Ports und -­‐IPs eines Pakets untersucht. Mit dem Wissen, ob es sich z.B. um einen langen Download oder um ein Echtzeitprotokoll handelt, kann es Entscheidungen zur optimalen Auslastung der Internetverbindung treffen. Zusammengefasst ist das Endergebnis eines QoS, eine Leitung mit geringer Latenzzeit und geringer Paketverlustrate. Eine Funktion, die man schnell nicht mehr vermissen möchte, wo die Bandbreite knapp ist. Perfekte Kontrolle über die getätigten Einstellungen, findet man in der graphischen Darstellung der Leitungsauslastung.