Die wichtigsten Eigenschaften der OSFW auf einen Blick:
- Paketfilterung und Stateful Inspection
- VPN-Funktionalität
- openVPN
- IPsec
- Verschlüsselung 3DES (RFC 1851) oder AES (RFC 3268)
- Hashes SHA (RFC 4634) und MD5 (RFC 1321)
- DMZ-Unterstützung
- GUI-basierte Konfiguration der Firewall Rulebases
- NAT
- Anti-Spoofing
- ntop
- RAID-Controller und Software-RAID
- Rule Base Backup
Paketfilterung und Stateful Inspection
Die OSFW basiert auf Stateful Inspection, einer erweiterten Form der Paketfilterung. Die Pakete werden bei Stateful Inspection nicht mehr einzeln betrachtet. Stattdessen wird sich der Status einer Verbindung gemerkt und ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zugeordnet.
Es steht Ihnen eine Vielzahl von Möglichkeiten zur Verfügung, eingehenden und ausgehenden Datenverkehr durch die Kombination mit einem Proxy-Server zu kontrollieren. Bei Bedarf kann der Datenverkehr auch protokolliert werden.
VPN-Funktionalität
Zugriff auf ein geschütztes Firmennetzwerk von z.B. einem Aussendienstmitarbeiter ist durch einen VPN-Tunnel möglich. VPN (Virtual Private Network) ist ein Computernetz, das zum Transport privater Daten das öffentliche Internet nutzt.
OpenVPN
In Kombination mit der OSFW bieten wir OpenVPN an, ein Programm zur Herstellung eines Virtual Private Network über eine verschlüsselte Verbindung. Für die Verschlüsselung werden statische preshared Keys oder ein TLS-basierter dynamischer Key-Exchange verwendet.
IPsec
Statt OpenVPN kann auch IPsec verwendet werden mit den aktuellen Verschlüsselungstechniken 3DES oder AES.
Verschlüsselung 3DES (RFC 1851) oder AES (RFC 3268).
Bei 3DES, auch Triple-DES genannt, wird jeder Datenblock mit einem DES-Schlüssel K1 chiffriert, dann mit K2 dechiffriert und mit K3 chiffriert. Die Schlüssellänge von 3DES ist mit 168 Bit dreimal so groß wie bei DES (Data Encryption Standard) mit einer Blockgröße von 64 Bit, das heißt ein 64-Bit-Block Klartext wird in einen 64-Bit-Block Chiffretext transformiert. Bei DES handelt es sich um einen symmetrischen Algorithmus, das heißt zur Ver- und Entschlüsselung wird derselbe Schlüssel verwendet.
Der Advanced Encryption Standard (AES) ist ein symmetrisches Kryptosystem, als Nachfolger für DES bzw. 3DES. AES schränkt die Blocklänge auf 128 Bit ein, während die Wahl der Schlüssellänge von 128, 192 oder 256 Bit unverändert übernommen worden ist.
Hashes SHA (RFC 4634) und MD5 (RFC 1321)
Eine Hash-Funktion ist eine Funktion, die zu einer Eingabe aus einer üblicherweise großen Quellmenge eine Ausgabe aus einer im allgemeinen kleineren Zielmenge erzeugt. Diese Hash-Werte sind meist skalare Werte aus einer Teilmenge der natürlichen Zahlen.
Der Begriff Secure Hash Algorithm, kurz SHA, bezeichnet eine Gruppe standardisierter kryptologischer Hash-Funktionen. Diese dienen zur Berechnung eines eindeutigen Prüfwerts für beliebige elektronische Daten.
MD5 (Message-Digest Algorithm 5) ist eine weit verbreitete kryptographische Hash-Funktion, die einen 128-Bit-Hashwert erzeugt.
DMZ-Unterstützung
Über OSFW kann eine DMZ (Demilitarisierte Zone) aufgebaut werden, in der die Zugriffmöglichkeiten auf die daran angeschlossenen Server sicherheitstechnisch kontrolliert werden. Die in der DMZ aufgestellten Systeme werden durch eine
oder mehrere OSFW gegen andere Netze (z B. Internet oder LAN (Local Area Network)) abgeschirmt.
Die DMZ wird unterstützt durch eine 4-fach 10/100/1000 Ethernetkarte oder durch einen 24-Port 10/100 Switch und 1GBit-Uplink VLAN-Anbindung (Virtual Local Area Network ist ein virtuelles lokales Netz innerhalb eines physischen
Netzes) zur Firewall.
GUI-basierte Konfiguration der Firewall Rulebases
Die Security-Policy ist das Regelwerk, anhand dessen ein Firewall-System Zugriffe erlaubt oder sperrt. OSFW bietet eine graphische Benutzeroberfläche zur Wartung der Security-Policy.
NAT
NAT (Network Address Translation): Mithilfe einer öffentlichen IP-Adresse können mehrere Rechner mit privaten IP-Adressen mit dem Internet verbunden werden.
Anti-Spoofing
Spoofing nennt man Täuschungsversuche in Computernetzwerken zur Verschleierung der eigenen Identität. Früher stand Spoofing ausschließlich für den Versuch des Angreifers, IP-Pakete so zu fälschen, dass sie die Absenderadresse eines anderen Hosts trugen. Heutzutage umfasst Spoofing alle Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, welche auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen in Netzwerkprotokollen beruhen.
ntop
ntop bietet Ihnen eine graphische Trafficanalyse (Proxy, http, DNS, Mail,...) über den Browser, um zu sehen, wieviel Bandbreite genutzt wird.
RAID-Controller und Software-RAID
Ein RAID-System (redundant array of inexpensive/independent disks) dient zur Organisation mehrerer physischer Festplatten eines Computers zu einem logischen Laufwerk, das eine größere Speicherkapazität, eine höhere Datensicherheit bei Ausfall einzelner Festplatten und/oder einen größeren Datendurchsatz erlaubt als eine physische Platte.
Von Software-RAID spricht man, wenn das Zusammenwirken der Festplatten komplett softwareseitig organisiert wird. Der Vorteil von einem Software-RAID ist, dass kein spezieller RAID-Controller benötigt wird.
Rule Base Backup
Zusammen mit Ihnen erstellen wir die Firewall-Regeln, anhand dessen ein Firewall-System Zugriffe erlaubt oder sperrt. Von diesen Regeln wird ein ständig aktualisiertes Backup erstellt.
$Id: osfw-features.inc,v 1.3 2009/05/07 12:25:49 fernst Exp $
