Donnerstag, 23. August 2007

Neue Firewall

Die jetzige Firewall genügt meinen Ansprüchen nicht mehr und so habe ich mich auf die Suche gemacht nach einer neuen Lösung. Die Version der Endian Firewall, welche ich als Notlösung seit ein paar Monaten verwende, hat eine Macke. Vor fünf Jahren habe ich während einer Zeit die Firewall von Mandrake verwendet. Es war damals, so weit ich mich erinnere, die einzige Out-of-the-Box-Variante, welche etwas taugte. Diese gibt es aber in der Zwischenzeit nicht mehr...Eine Hardware-Firewall will ich eigentlich nicht, denn die Kosten für eine Nicht-Home-User-Versionen sind gigantisch (SSH = mehrere 100 CHF). Hardware (Pentium III 700 MHz,192 MB RAM, 30 GB HD oder 512 MB CF-Card mit IDE-Adapter, momentan tendiere ich mehr auf HD, denn Proxy wäre für das WLAN-Interface sehr zu begrüssen) habe ich schon, brauche nur noch Software. Drei Netzwerk-Interfaces (WAN, LAN und WLAN), Snort, VPN und Traffic Shaping ist eigentlich schon alles. OK, nette Grafiken über die System- und Netzwerk-Auslastung wären auch noch schön. Der erste Versuch, welche nun schon ein paar Monate dauert, habe ich mit Endian gemacht. Diese Firewall-Version gibt es auch in einer Community-Version. Es ist ein sehr gut abgestimmtes Produkt, aber leider hat es nicht alles Features, welche ich will und über Erweiterungen lässt sich fast nicht in Erfahrung bringen. Ist wahrscheinlich nicht so wirklich eine Gemeinschafts-Projekt, sondern wird eher gemacht, damit die Firma ein einem besseren Licht darsteht. Wer jedoch ein eine Firewall braucht und geringe Ansprüche hat, der sollte Endian eine Chance geben. Endian basiert auf IPCop. So habe ich dann mal IPCop ausprobiert. Der erste Eindruck nach dem Starten und dem Zugriff auf das Web-Interface: schrecklich...eine sauhässliche Oberfläche, so ziemlich das schlimmste, was mir in der letzten Zeit unter die Augen gekommen ist. Farben sind Geschmacksache, aber die Logos sehen aus, wie wenn sie in letzter Sekunde vor dem Release in lausiger Qualität noch in die Oberfläche gepflanzt worden sind. Das Sourceforge-Logo sieht sehr deplaziert aus (transparenter Hintergrund wäre schon viel Wert...). In einem geschäftlichen Umfeld lässt sich dieses System mit dieser Oberfläche wohl kaum einsetzen, denn es wird wohl jeden Geschäftsführer rückwärts umhauen, wenn er einen Blick auf die Oberfläche wirft, auch wenn das System sehr gut für die entsprechende Aufgabe geeignet ist. Die graphischen Ansprüche der Entwickler sind nicht so hoch, dafür haben sie ein sehr grosse Community um sich geschart, welche extrem viele Erweiterungen erstellt hat. Es geht von der Temperaturmessung mit externen Sensoren über Samba und Snort bis zum Captive Portal und Viren-Scanner. Es gibt jedoch auch aus der Community kein aktuelles Template, welche auch nur die minimalsten ästhetischen Ansprüche an ein Web-Interface erfüllt. Auf den ersten Blick ist mir negativ aufgefallen, dass standardmässig keine serielle Konsole vorhanden ist. Wie man sicher eine serielle Konsole bei einem Linux-System schafft, ist mir durchaus bekannt, aber so fällt eine Installation ohne Monitor von vorne herein weg. Grundsätzlich wäre IPCop schon mal was...aber es gibt sicher noch andere... BSD soll ja eine sichere und robuste Plattform sein. Da wird es doch sicher ein Firewall-System geben und tatsächlich, es gibt so gar mehrere. Monowall oder M0n0wall und pfSense sind die ersten, welche ich gefunden habe. Monowall ist gerade ein bisschen zu rudimentär. Eine klassische Firewall eben. Ich habe jedoch ein paar Ansprüche, welche mir Monowall nicht erfüllen kann und so bin ich sehr schnell bei pfSense gelandet. pfSense ist der "grosse" Bruder von Monowall und ist mit über 100 MB auch deutlich grösser. Bei pfSense ist der Fokus nicht nur auf WRAP- oder Soekris-Systeme gelegt, sondern auch auf normale Computer-Systeme (Monowall läuft natürlich auch auf PC-Hardware). Das Traffic Shaping-System ist bei pfSense mehr ausgebaut als bei Monowall. So werde ich pfSense mal ausgiebig testen... Noch einmal als Zusammenfassung, diese habe ich gefunden und getestet, resp. ausprobiert:

Fedora als Firewall, nein danke. Wer will schon zwei Mal pro Jahr ein Update machen. Mit Iptables und ein paar anderen Tools liesse sich dies jedoch auch bewerkstelligen, wenn man kein Web-Interface will oder braucht und alles selber machen will.

1 Kommentar:

Christof Damian hat gesagt…

Ich verwende auf meiner Firewall seid ein paar Monaten CentOS mit den FIAIF firewall scripts.

Davor hatte ich Fedora drauf, aber das war mir auch zu stressig mit den updates.

Ich habe auch dran gedacht auf Shorewall umzusteigen, aber im Moment reicht mir FIAIF.