Login


 
Newsletter
Werbung
So, 31. August 2008, 00:00

IPFire

Das Projekt wird vorgestellt

Vorwort

Boot-Bildschirm bei der Installation von IPFire

Kim Barthel

Boot-Bildschirm bei der Installation von IPFire

Linux ist heutzutage in aller Munde. Man findet es auf handelsüblichen Routern oder WLAN-Accesspoints, Mobiltelefonen, Computersystemen (Desktop und Server) oder als Hauptthema diverser Computerzeitschriften. Überall ist es präsent! Doch nicht immer trivial? Das ändert sich jetzt!

IPFire ist eine Distribution, die auch auf Linux als Systemkern setzt. Nach dem Baukastenprinzip haben die Entwickler ein System zusammengestellt, welches individuell an die Sicherheitsbedürfnisse eines Netzwerks angepasst ist und welches sich dank seiner großen Flexibilität auch in jede Umgebung perfekt einfügen lässt. Das bringt ein ideales System, lauffähig auf gängiger Hardware wie zum Beispiel einem Intel Pentium der ersten Generation oder einem modernen Mehrprozessorsystem. Für die stromsparenden Mini-ITX-Systeme gibt es besondere Unterstützung, welche die Leistung drastisch steigert.

Durch die sorgfältige Auswahl von stabiler Software ist es den Entwicklern gelungen, Sicherheit zu gewährleisten, die ein normaler Router nicht gewährleisten kann. Der eigens entwickelte Paketmanager (Pakfire) ermöglicht es (auch unerfahrenen Anwendern) Updates zu installieren, oder das System mit den vielen Paketen an die eigenen Bedürfnisse anzupassen.

Linuxrouter gibt es schon eine Handvoll! Viele werden kommerziell entwickelt und bieten einen eher bescheidenen Funktionsumfang. Meist handelt es sich um textbasierende Systeme, die sehr erfahrenen Benutzern vorbehalten sind. Grafische Hilfsmittel oder Ähnliches sind hier selten anzutreffen. Daher hat es sich das Team von IPFire zur Aufgabe gemacht, ein System zu entwickeln, das trotz Stabilität und Sicherheit einfach und ohne Programmier- oder Konsolenkenntnisse zu verwalten ist. Das ist mit der finalen Version 2.1 verwirklicht worden.

Geschichtliches

Die erste stabile Version des Projektes existiert schon seit 2005. Der Entwickler hat damals auf Basis des IPCop einige Funktionen entwickelt, die den IPCop zu einer kleinen Firewall mit Mehrwertfunktion erweitern sollten. Ein Fileserver auf Grundlage von Samba, eine Voice-over-IP-Lösung mittels Asterisk sowie ein kleines Quality-of-Service waren mit an Bord. Der LPR-PrinterSpooler (LPR-ng), der es ermöglichte, einen parallel angeschlossenen Drucker zu bedienen, wurde auf Wunsch auch integriert. Diese Idee fand nach dem Release sehr große Akzeptanz. Vor allem bei vielen Heimadministratoren, oder auch in kleinen bis mittleren Betrieben, die sich einen Business- Router (z.B.: Cisco) + Server (Microsoft Windows) nicht leisten konnten, fanden in dieser All-in-One-Lösung eine zufriedenstellende Lösung. Mit einer sich schnell weiterentwickelnden IT-Branche und der immer stärker werdenden multimedialen Vernetzung stiegen jedoch die Anforderungen an den in die Jahre gekommenen IPFire. Das Land schrie nach einer neuen Version!

Also setzten sich der Entwickler und seine steigende Zahl an tatkräftigen Helfern an ihre Rechner und überlegten, wie sie den IPFire neu gestalten könnten. Man kam zu dem Entschluss, etwas Neues zu schaffen. Die Trennung vom Ur-Projekt IPCop war das Ergebnis.

Die Version 2 des IPFire

Geschaffen wurde nun aus dem aktuellen Linux from Scratch und einem Kernel 2.6 (ein wenig gepatcht) ein System, das mehr Hardwareunterstützung, mehr Leistung und erweiterte Netzwerkfunktionen bietet, als der alte IPCop-basierende IPFire 1.4.9. Hinter den Kulissen vollzog sich also eine Evolution vom Kernel 2.4 auf die Version 2.6, was viel Arbeit, aber auch die oben erwähnten, weitreichenden Vorteile brachte. Auf der Basis dieses hochaktuellen und stabilen Systems wurden die alten Funktionen nach und nach wieder eingebaut und neue ergänzt.

Die besondere Netzstruktur spielt dabei eine große Rolle. Neben getrennten Netzwerksegmenten (LAN ­ DMZ ­ Internet) gibt es ein zugriffgesteuertes Segment, für beispielsweise WLAN-, oder sicherheitskritische Clients. Dadurch hat man die Möglichkeit zu definieren welche Clients nach Regeln den Internetzugang nutzen dürfen. Das Basispaket setzt sich zusammen aus:

  • Stateful Inspection Firewall, die auf der Netfilter-Architektur von Linux beruht
  • Intrusion Detection System mit Guardian-Erweiterung zum IPS-System
  • Webproxy mit Content-Filter und »Update-Booster« (welcher Software-Updates großer Softwarepakete wie z.B. Microsoft Windows oder diverser Virenscanner beschleunigt und Traffic minimiert)
  • VPN über IPSec und/oder OpenVPN (den vollständigen Software- und Funktionsumfang kann man im Anhang einsehen.)

Zu den neuen Funktionen gehört auch eine ausgehende Firewall, die mit verschiedenen Richtlinien arbeitet und auch die Möglichkeit bietet, Peer2Peer-Verkehr per Knopfdruck zu sperren. Wer trotz hohem Traffic ein unterbrechungsfreies Telefonat per Voice-over-IP führen will, wird das Quality-of-Service (QoS) sehr willkommen heißen. Es ist durch einen Assistenten einfach in der Web-Oberfläche zu bedienen.

Die Web-Oberfläche von IPFire

Kim Barthel

Die Web-Oberfläche von IPFire

Erstmals gibt es die Möglichkeit, per Type-of-Service markierte Pakete in die einzelnen Klassen zu sortieren. Dies ist besonders hilfreich, da einige Voice-over-IP-Telefone (beispielsweise von Cisco) ihren RTP-Datenstrom markieren können und er somit vom QoS sofort erkannt wird. Die Liste der Funktionen, die im Laufe der Zeit entwickelt wurden, würde diesen Rahmen sprengen. Daher hier ein kleiner Auszug der Addons, die den IPFire auch perfekt als Homeserver Verwendung finden lassen. Dazu zählen:

  • Mailserver (mit Virenprüfung und Spamfilter)
  • Weitere Voice-over-IP-Funktionen (Asterisk-Nebenstellenanlage und Teamspeak-Server)
  • Streamingserver für eine MP3-Sammlung
  • Leichtes Einbinden von externen USB- oder Firewire-Festplatten per Knopfdruck

Dies war eine kleine Übersicht, was die Entwickler mit dem Projekt bisher geleistet haben. Eine komplette Aufstellung mit einigen wenigen technischen Details findet sich im Anhang.

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung