Das Titelthema im ADMIN 04/14 "Vernetzt speichern" sind Netzwerkdateisysteme, etwa Samba 4, verteilter Storage mit Ceph & GlusterFS und der Unix-Klassiker ... (mehr)

VPN

Bei der VPN-Konfiguration bestand in der letzten Version der Endian-Firewall Nachholbedarf. Die Oberfläche der neuen Version ist deshalb neu gestaltet und hat eine Zertifikatsverwaltung mit eigener Certification Authority (Zertifizierungsstelle) erhalten, die X.509-Zertifikate für die VPN-Module erzeugt. Alternativ generiert die CA auch einen Certificate Signing Request (CSR) für externe CAs und verwaltet so auch offizielle Zertifikate.

Wer bei der Installation die IP-Adresse für die interne Netzwerkschnittstelle der Firewall geändert hat – Standard ist 192.168.0.15 –, muss zunächst ein neues Root-Host-Zertifikat erstellen. Zunächst sperrt man das alte Root-Zertifikat unter »Zertifikat | Zertifikat sperren« und erzeugt unter »Zertifizierungsstelle | Neue Root/Host Zertifikate erstellen« ein neues.

Der integrierte OpenVPN-Server verwaltet nun auch TUN-Interfaces, was insbesondere bei der Anbindung von Smartphones und Tablets hilft. Endian hat auch das IPsec-Modul auf StrongSWAN 5.1 aktualisiert und integriert damit neben IKEv2 zusätzliche Verschlüsselungsalgorithmen wie Blowfish, Twofish, Serpent, SHA2 und AES-XCBC.

Auch die Benutzerverwaltung des VPN-Moduls hat eine Erneuerung erfahren: Neben lokalen Benutzern legt man darüber jetzt auch externe Server für die Authentifizierung von VPN-Benutzern an. Das Modul unterstützt nativ LDAP, Active Directory und Novells eDirectory. Weiterhin lassen sich Benutzergruppen aus Verzeichnisdiensten synchronisieren und lokale Benutzer  in Benutzergruppen organisieren (Abbildung 5). Auf diese Weise ordnet man zum Beispiel Benutzergruppen gemeinsame VPN-Dienste oder -Parameter zu.

Abbildung 5: Das neue VPN-Modul von Endian bindet externe Authentifizierungssysteme an, organisiert VPN-User in Gruppen und integriert eine eigene X.509-Zertifizierungsstelle.

Hotspot

Die Hotspot-Funktion gehört seit Langem zu den etablierten und häufig eingesetzten Features der Enterprise-Firewall. Das integrierte Captive-Portal richtet Gastzugänge ein und mit dem Account-Generator legt der Admin Benutzerkonten manuell an. Alternativ gibt es mit Endian Smart Connect ein Self-Service-Feature, das Benutzern Zugangsdaten per SMS oder E-Mail automatisch zustellt. Ob die Tickets kostenlos sind, legt der Admin fest; falls nicht, erfolgt die Abrechnung über PayPal oder Kreditkarte.

In der neuen Endian-Version bindet auch der Hotspot externe Authentifizierungssysteme an, namentlich LDAP, Active Directory, Novell eDirectory sowie RADIUS. Daneben erstellt er zeitlich begrenzte Tickets für die Hotspot-Nutzung, beispielsweise um Benutzern täglich eine Stunde Internet-Zugang zu gewähren. Neu ist auch die Funktion »Hotspot SmartLogin« . Ist sie aktiviert, liest der Hotspot die Zugangsdaten aus einem Session-Cookie des Browsers aus, die Benutzer brauchen dann ihre Zugangsdaten nicht immer wieder neu einzugeben.

Auch der Reporting-Bereich hat ein Facelifting erhalten: das neue Dashboard liefert nun auf einer übersichtlichen Timeline eine Zusammenfassung der wichtigsten Events, etwa über geblockte Viren, ein- und ausgehende E-Mails, Angriffsversuche und den Webverkehr. Die Live-Protokolle helfen außerdem, die wichtigsten Events schnell in übersichtlicher Tabellenform zusammenzustellen. Dank der zusätzlichen Filterfunktion lassen sie sich zum Beispiel für die Fehlersuche immer weiter eindampfen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021