Gibraltar ========= Allgemeines: ------------ Gibraltar ist ein Produkt zur Realisierung von Firewalls. Eine Firewall hat die Aufgabe, ein internes Computer-Netzwerk gegen Angriffe aus dem Internet zu schützen. Dazu wird sie als Verbindungsstelle zwischen dem zu schützenden Bereich und dem Internet verwendet, wodurch der gesamte Datentransfer zum und vom Internet über die Firewall laufen muss. Diese kontrolliert und filtert alle Datenpakete einzeln und verhindert die Weiterleitung von nicht erlaubten Paketen. Zusätzlich werden alle Verstöße gegen die Firewall-Regeln protokolliert und periodisch an die Verantwortlichen gemeldet. Direkte Angriffsversuche auf das interne Netzwerk oder die Firewall selbst werden sofort gemeldet. Weiters werden alle Verbindungen zu dem Computer, von dem aus die Angriffsversuche unternommen wurden, abgebrochen und weitere Verbindungen zu diesem verhindert. Bei der derzeitigen Anzahl an Angriffsversuchen auf die verschiedensten an das Internet angschlossenen Netzwerke ist es unumgänglich, auf die Sicherheit der Unternehmensdaten zu achten. Eine Firewall ist dabei der wichtigste Teil des Sicherheitskonzeptes, da sie der Berührungspunkt des Unternehmens mit dem Internet sein sollte. Allerdings schrecken herkömmliche Firewalls durch teure und kompliziert zu bedienende Spezialhardware ab, weshalb viele Unternehmen bisher auf den Einsatz solcher Sicherheitsmaßnahmen verzichtet haben und zum Angriffsziel vieler Attacken werden. Gibraltar soll es auch kleinen und mittleren Unternehmen ermöglichen, ihre Netzwerke gefahrlos an das Internet anzubinden. Dennoch bietet Gibraltar volle Flexibiltät und alle Features, die zur Absicherung großer, heterogener Unternehmensnetzwerke nötig sind und auch bei kleineren Einsatzgebieten wertvolle Hilfestellung bieten. Besonders bei großen Netzwerkstrukturen sind die mächtigen Routing-Funktionen von Gibraltar von hoher Bedeutung und heben es von Konkurrenzprodukten deutlich ab. Dies wird dadurch ermöglicht, dass Gibraltar keine spezielle Hardware zum Betrieb benötigt, sondern auf handelsüblichen PCs lauffähig ist. Dazu ist auch keine Installation der Software nötig. Stattdessen läuft Gibraltar vollständig von der bootfähigen CD-ROM aus, wobei alle kundenspezifischen Konfigurationsdaten auf einer einzigen Diskette gespeichert werden. Dadurch wird der Umgang mit der Konfiguration sehr transparent für den Systemadministrator Beinahe jeder beliebige PC mit einem CD-ROM Laufwerk kann mit Hilfe der Gibraltar CD-ROM als Firewall dienen und so für eine sichere Anbindung eines lokalen Netzwerkes an das Internet sorgen. Für den PC sind weder Tastatur noch Bildschirm nötig, wodurch dieser in einer abgeschlossenen Umgebung betrieben werden kann. Dabei ist die Art der Anbindung nicht entscheidend, es werden direkte LAN-Verbindungen, ISDN-Wählleitungen, Modem-Wählverbindungen, Kabelmodems mit Netzwerkinterface und in Zukunft auch ISDN-Standleitungen unterstützt. Auch die Anzahl der von der Firewall angebundenen internen Netzwerke ist nur von der eingesetzten Hardware abhängig. Mit entsprechend ausgestatteter Hardware ist es leicht möglich, so viele getrennte Netzwerke wie gewünscht über die Firewall aneinander sowie an das Internet anzubinden, wobei die Internet-Anbindung für die einzelnen Netzwerke auch individuell parametrisiert werden kann (z.b. unterschiedliche Internetprovider für unterschiedliche Teilnetzwerke). Die Anzahl der unterstützten Netzwerkanschlüsse der Firewall wird nur durch den Ausbau der eingesetzten Hardware begrenzt. Es besteht auch die Möglichkeit, über eine Internetanbindung mit nur einer offiziellen IP-Adresse, wie von vielen Internetprovidern kostengünstig angeboten, mehrere anstatt nur einem Rechner ans Internet anzubinden. Designziele: ------------ - konsequente Verwendung von Standardkomponenten: Die für Gibraltar eingesetzten Softwarepakete sind gänzlich Open-Source Programme, die im Internet bereits seit vielen Jahren erfolgreich eingesetzt und getestet werden und unter ständiger Weiterentwicklung von Experten auf den speziellen Fachgebieten stehen. Alle speziell für Gibraltar erstellten sicherheitsrelevanten Programmteile werden ebenfalls inklusive Source-Code veröffentlicht um Reviewing durch Andere zu ermöglichen. Gibraltar setzt nicht auf das bei vielen proprietären Produkten verfolgte Ziel der "Security through Obscurity". - minimale Hardware-Anforderungen: Es soll möglich sein, Gibraltar auf so gut wie jedem PC (siehe Hardware-Anforderungen) mit einem CD-ROM Laufwerk einzusetzen und trotzdem alle Features von aktueller Hardware vollständig auszunutzen. - Betrieb ohne Monitor und Tastatur: Die Firewall soll vollständig über ein Netzwerk und / oder die serielle Schnittstelle der Hardware administrierbar sein, sodass der Anschluss von Monitor und Tastatur an die Firewall-Hardware entfallen und diese abgeschlossen und wartungsfrei betrieben werden kann. - transparenter Umgang mit Konfigurationsdaten Die aktuelle Konfiguration der Firewall wird auf Diskette gespeichert, wodurch ein transparenter Umgang mit verschiedenen Versionen leicht möglich ist. So kann etwa eine funktionierende Konfiguration einfach archiviert werden, indem zum Speichern der neuen, noch ungetesteten Konfiguration eine andere Diskette verwendet wird. Bestehende Konfigurationsdisketten können auch einfach mit vorhandenen Mitteln kopiert werden. - einfache Administrierbarkeit: Standardlösungen können vollständig über ein Web-Interface der Firewall konfiguriert werden. Die Anforderungen an den Client zum Konfigurieren der Firewall sind also durch Netzwerkanschluss und Internetbrowser abgedeckt. Es wird absichtlich auf spezielle Windows-Software zur Konfiguration verzichtet, um Plattformunabhängigkeit der im internen Netzwerk angeschlossenen Computer zu ermöglichen. Das Web-Interface ist für Standardaufgaben konzipiert und ist für den Großteil aller Firewall-Installationen optimiert. Allerdings sind auch unternehmensspeziefische Speziallösungen möglich, welche direkt über die Kommandozeile von Gibraltar realisiert werden können. - größtmögliche Flexibilität: Das Web-Interface behindert erfahrenen Administratoren nicht bei der direkten Konfiguration der Firewall über die Kommandozeile. Alle mitgelieferten Softwarepakete können dadurch vollständig ausgenutzt werden und die Realisierung von Individuallösungen mit besonderen Anforderungen wird möglich. - Multiprotokoll-Support: Die Routing-Fähigkeiten von Gibraltar beschänken sich nicht auf die derzeitige Version des Internet Protokolls (IPv4), sondern schließen auch die nächste, derzeit weltweit im Pilotversuch getestete Version (IPv6) und die alternativen Netzwerkprotokolle IPX sowie Appletalk ein. Dadurch kann eine mit Gibraltar betriebene Firewall zur zentralen Verbindungsstelle eines Firmennetzwerkes werden. Paket-Filter-Funktionaltät ist derzeit bereits für IPv4 und IPv6 verfügbar. - flexible Abfrage von Verbindungsdaten: Ab der nächsten Version von Gibraltar wird Unterstüzung für eine komfortable und flexible Abfrage von Verbindungsdaten möglich sein, also z.B. welcher Client im internen Netzwerk welche Verbindungen in das Internet geöffnet hat. Dies verlangt allerdings, dass die verwendete Hardware eine Festplatte beinhaltet, auf welcher die Protokolle gespeichert werden können. Alle diese Designziele heben Gibraltar von anderen Firewall-Produkten ab, die meist entweder nur für eine bestimmte Klasse von Einsatzgebieten konzipiert wurden oder proprietäre Programmteile verwenden, welche nicht von unabhängigen Stellen auf Fehler, Sicherheitslücken oder auch Hintertüren untersucht werden können. Der Hauptbestandteil von Gibraltar ist der jeweils aktuellste Linux-Kernel, der bereits vielfach in der Praxis eingesetzt wird und durch die Arbeit von über 1000 Entwicklern weltweit eine im Vergleich mit anderen Betriebssystemkernen beeindruckende Stabilität bietet. Weiters baut Gibraltar auf die Linux-Distribution "Debian" (siehe www.debian.org) auf, die weltweit für knapp ein Viertel aller Linux-Installationen verwendet wird (vgl. http://counter.li.org/reports/machines.html). Die Entscheidung für "Debian" beruht auf der hohen Stabilität und Flexibilität des verwendeten Paketmanagements, welches durch seine hervorragenden Fähigkeiten zu Online-Updates von Systemkomponenten bestens für den Einsatz in Systemen geeignet ist, von denen ständige Verfügbarkeit verlangt wird. Die Entscheidung für die ausschließliche Verwendung von völlig frei verfügbarer Standard-Software kommt der Sicherheit der Firewall sehr zugute. Da der Source-Code aller relevanten Komponenten im Internet frei erhältlich ist, arbeiten viele Sicherheitsexperten weltweit an der Fehlersuche in diesen Codes. Auch die von ViaNova zur Erweiterung der Debian-Distribution geschriebenen Programme werden inklusive Source-Code im Internet veröffentlicht. Gibraltar verfolgt daher nicht das von vielen Konzernen immer noch verwendete Konzept "Security through Obscurity", sondern stützt sich auf das Wissen und die Erfahrung vieler Entwickler. Durch die Offenlegung der Codes werden bisher unbekannte Fehler schneller gefunden und es ist unmöglich, "Hintertüren" in die Programme einzubauen, die Firmenmitarbeitern Zugriff auf die sensiblen Daten erlauben würden. Rene Mayrhofer, der Kernentwickler von Gibraltar, ist zudem offizieller Mitentwickler der Debian-Distribution, wodurch Erweiterungen der Netzwerkfähigkeiten im Routing- und Firewalling-Bereich meist in Kooperation mit Debian Kernentwicklern erfolgen. Technisches Datenblatt: ----------------------- Hardware-Anforderungen: - Intel kompatibler Prozessor, 486 oder höher - bootfähiges CD-ROM Laufwerk (IDE oder SCSI) - Diskettenlaufwerk - Netzwerkkarte - optional: Festplatte zur dauerhaften Speicherung von Protokolldaten Unterstützte Hardware und Netzwerkoptionen: - - - - - - - - - - - - - - - - - - - - - - Netzwerk-Devices: - alle handelsüblichen Ethernet-Netzwerkkarten (10, 100 und 1000 MBit/s), die vom Linux-Kernel unterstützt werden - alle aktiven und passiven internen ISDN-Adapter, die vom Linux-Kernel unterstützt werden - alle über die serielle Schnittstelle angeschlossenen Modems und externen ISDN-Adapter (Unterstützung für über den USB-Bus angeschlossenen Geräte ist geplant) Netzwerk-Protokolle: - IPv4 Protokoll: - IPSec zum Aufbau von VPNs mit anderen Gibraltar Firewalls sowie Konkurrenzprodukten - PPTP Server - DHCP Client (für Kabelmodem-Anbindungen) - DHCP Server zum automatischen Konfigurieren von Clients im internen Netzwerk - DNS Server - Mail-Weiterleitung an internen Mail-Server - dynamische Routing-Protokolle: RIP, RIPv2, OSPFv2, BGP4 - statisches Routing abhängig von beliebigen IP-Header Feldern (z.B. Quelladresse, Portnummern, Firewall-Regeln, ....) --> Source based Routing möglich - transparente Proxies - Masquerading - QoS Routing - Bandbreitenbeschränkung - Filtern von IP-Paketen nach Protokoll, Adressen, Portnummern und TCP-Protokoll-Optionen - ab der nächsten Version Support für stateful firewalling - IPv6 Protokoll: - Router Advertisment Support zum automatischen Konfigurieren von Clients im internen Netzwerk - Mail-Weiterleitung an internen Mail-Server - dynamische Routing-Protokolle: RIPng, OSPFv3, BGP4+ - ab der nächsten Version vollen Support für Firewalling (siehe IPv4) - IPX Protokoll - Appletalk Protokoll ========= Features: ========= - Anti-spoofing - Reporting (Log-Files) - Statistiken - HTTP Proxy (auch transparent) - Portscan detection - Content filtering - Virus protection Folgende Dienstleistungen werden von ViaNova gerne für Sie übernommen: ---------------------------------------------------------------------- - Anpassungen der Konfiguration an Kundenwünsche - Beratung / Schulung zu Gibraltar - allgemeine Einführung in das IPv4- und das IPv6-Protokoll Ansprechpartner: Rene Mayrhofer rene.mayrhofer@vianova.at