Das Titelthema im ADMIN 04/14 "Vernetzt speichern" sind Netzwerkdateisysteme, etwa Samba 4, verteilter Storage mit Ceph & GlusterFS und der Unix-Klassiker ... (mehr)

Endian Firewall installieren

Wer die Enterprise-Edition vor dem Kauf testen möchte, findet auf der Endian-Website eine Online-Demo. Alternativ vergibt Endian Testlizenzen für die kommerzielle Version, allerdings nur gegen Registrierung unter [2]. Der für die Installation erforderliche Aktivierungscode und ein Download-Link für das ISO-Image kommen dann per E-Mail. Daneben steht die Community-Edition zum kostenlosen Download bereit.

Egal ob auf einem physikalischen System oder auf einer virtuellen Maschine sollte dem Testsystem ein Dual-Core-Prozessor mit zwei Gigahertz, einem GByte RAM und 20 GByte Festplattenplatz zur Verfügung stehen. Nach der Installation gelingt der erste Zugriff auf das Web-Interface unter der Default-IP-Adresse »http://192.168.0.15:10443« . Hier setzt man die Passwörter für die Benutzer »root« für den Shell-Zugriff sowie »admin« fürs Web-Interface und registriert bei der Enterprise-Version seinen Account fürs Endian Network. Dabei handelt es sich um die Cloud-basierte Verwaltungszentrale für die Endian-Enterprise-Installationen, über die sich der verbleibende Maintenance-Zeitraum genauso überwachen lässt wie die Hardware-Ressourcen und zusätzlich erworbene Lizenzen – zum Beispiel für den kommerziellen Viren- und URL-Filter.

Das Endian Network kümmert sich auch ums Einspielen von Updates und um die Remote-Verwaltung von Endian-Enterprise-Installationen. Der Zugriff erfolgt zu diesem Zweck über einen Reverse-HTTPS- oder einen SSH-Tunnel. Weiterhin stellt das Endian Network den kostenlosen OpenVPN-Client für Windows, Mac und Linux sowie Disaster-Recovery-Keys (USB-Images) für die Wiederherstellung von Endian Hardware-Appliances zur Verfügung.

Die Endian Firewall schaltet nach einer Standardinstallation die wichtigsten Dienste in Richtung Internet frei: HTTP(S), FTP, SMTP, POP3(S), IMAP(S), DNS und Ping. Die Konfiguration erfolgt unter »Firewall | Ausgehender Datenverkehr« . Neue Firewall-Regeln benötigen die Angabe der Quell- und Zielnetze oder der Schnittstelle sowie des gewünschten Protokolls.

Endian arbeitet mit der gleichen Farbkodierungen wie IPCop für die Netzwerkschnittstellen (Abbildung 3): Grün bezeichnet das interne Netz (LAN), Rot die externe WAN-Schnittstelle, Orange die DMZ und Blau ein WLAN. Die neue Endian-Version erlaubt im Feld »Applikation« außerdem das Verbot einzelner Protokolle oder Anwendungen. So unterbindet sie beispielsweise die Verwendung von Facebook und Skype:

Abbildung 3: Alles so schön bunt hier: Farbliche Kennzeichen verschaffen Überblick über relevante Informationen.
Quelle: Schnittstelle Grün/Blau
Ziel: Schnittstelle Rot
Service: HTTP
Applikation: Facebook, Skype
Richtlinie: Ablehnen

Diese Regel muss in der ausgehenden Firewall-Konfiguration an erster Stelle stehen. Darauf folgt eine Regel, die HTTP nach außen hin erlaubt und ohne Einschränkungen für Applikationen.

Der integrierte Open-Source-Virenscanner ClamAV lässt sich in der kommerziellen Version der Endian-UTM außerdem um eine Lizenz für den Panda-Virenscanner ergänzen. Er funktioniert mit den Proxies HTTP, SMTP, FTP und POP3, die Konfiguration findet unter »Dienste | Antivirusengine« statt.

Mehr Kontrolle über die HTTP(S)-Nutzung

Im Backend hat Endian den HTTP-Proxy mit einer ICAP-basierten (Internet Content Adaption Protocol) Lösung überarbeitet und damit die Performance verbessert. Der HTTP-Proxy unterstützt endlich auch HTTPS-Verbindungen, mit dem der Virenscanner nun auch verschlüsselten Traffic überprüft. Eine kostenpflichtige Zusatzlizenz erweitert den Proxy um den URL-Filter von Cyren (ehemals Commtouch, Abbildung 4). Im Gegensatz zum Standard-Webfilter von Dansguardian, den auch die Community-Edition enthält, kennt die Variante von Cyren über 100 Millionen Websites in fünf Haupt- und über 80 Unterkategorien. Unter »Proxy | HTTP | Webfilter « lassen sich Profile für unterschiedliche Benutzergruppen anlegen, beispielsweise Geschäftsleitung, Standard-Benutzer und Azubi.

Abbildung 4: Der kommerzielle URL-Filter von Cyren (Commtouch) und der Panda-Virenscanner bauen die Endian Firewall aus.

Auch der SMTP-Proxy hat Neuerungen erfahren. So definiert die Endian Firewall nun für jede Mail-Domain einen eigenen Smarthost mit entsprechenden SMTP-Authentifizierungsdaten sowie die ausgehende IP-Adresse. Auf diese Weise lassen sich E-Mails abhängig von der verwendeten Domain über unterschiedliche Internet-Mailserver routen. Zusätzlich steht dem Admin unter »Dienste | Mail Quarantäne« ein Quarantänebereich zur Verfügung, in dem er zurückgehaltene E-Mails samt Inhalt sucht, löscht und weiterleitet. Ein individueller E-Mail-Quarantäne-Bereich für die Benutzer fehlt jedoch.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019