Aufmerksamer Wächter

82 Sysadmin Linux-Magazin 10/07 Edenwall Aufmerksamer Wächter 3 und 4 des OSI-Modells, sie filtern an filtern sie OSI-Modells, des 4 und 3 Authentifizierung an der Firewall dank Netfilter-Modul NuFW kommt die Firewall-Appliance Edenwall, die sich hier einem Test stellt. einzelnen Rechnern Zugriffe zu erlauben sind NuFW-Regeln identitätsgesteuert. Vom Erfinder dieser Technik Aus Frankreich kommt mit NuFW ein Netfilter-Modul, das mit herkömmlichen Firewall-Prinzipien bricht: Statt Firewalls arbeiten ese Knet hefr tme aus stammen hierfür Konzepte Die meisten soll. filtern Benutzerkennung der sieht es aus, wenn die Regelbasis anhand recht simple Patterns zurückgreifen. Übel oder Proxys auf muss will, einbeziehen 7 Schicht aus Informationen WerPorts. TCP/ und UDP- IP-Adressen von hand Edenwall iu-let thn ne dr P. e Win Der GPL. der unter stehen Linux-Client Open Source: L7-Filter sowie NuFW und dessen Lizenz: Linux: Hardware: Funktion: Produkt: in Version 2.0.22 Nuface und Nulog auch als GPL erhältlich. ebenso ein Teil der Admin-Oberfläche (Nuconf). dows-Client ist proprietär und kostenpflichtig, Hersteller: ter und innovativer Benutzerauthentifizierung Kernel 2.6.19.4 mit Grsecurity-Patch Die Kernfunktionen der Edenwall sind Edenwall der Kernfunktionen Die Edenwall-Version2.1 iealApine i Layer-7-Fil mit Firewall-Appliance 1-HE-Einschub von Portwell INL [4] [2] heute meist auf Layer [5] mit NuFW mit [7] - - - dass an einem Rechner nur ein User ar User ein nur Rechner einem an dass aus, davon gehen und Jahren 90er den Firewall-Regelbasis Benutzer und Grup und Benutzer Firewall-Regelbasis der in machen, möglich es die schienen, beitet. Unter Linux oder auf Terminalser ü Netfilter für ce-Lager: In den vergangenen Jahren sind Wie es besser geht, zeigt das Open-Sour- vern ist diese Annahme falsch. Edenwallgeschützte(für50 Benutzer)50 be Preise: schaffungspreises zusätzlich. An desViertel ein Option kostetnach Jahr je Preise etwa 60Prozent höher. Supportfürein die liegen P5-505-RISC-Hardware IBMs Auf der Firma Portwell. von Preisschild knapp 22000 Euro. Mit dabei ist Hardware ein trägt Benutzer) geschützte 500 (für 500 Edenwall Euro, 4700 bei ginnt Je nach Anzahl geschützterBenutzer.Anzahl nach Je [1] wi uazoue er Zusatzmodule zwei Jörg Fritsch, Patrick Nest ------zu verwenden und Layer-7-Datenverwendeneinzu und zu pen statt Quell-IP-Adressen als Kriterium ware wall i Bnteatetfzeug a auf das Benutzerauthentifizierung die ist folgerichtig NuFW-Modul, das auch das zweite der L7-Filter INL ae 3 i Ntok drs Transla Address Network mit 3 Layer auf kennt Edenwall der Regelwerk Das Identitätsfrage ehen e piieire Benutzer privilegierten der den Rechnern DHCP-Server der gibt Ansatz verbreiteten einem In helfen Notlösungen. nur Firewalls herkömmlichen Bei bedient. Rechner den gerade der geben, Privilegien Benutzer dem verwen sondern den, Quell-IP-Adressen keine gar eigentlich Firewall-Admin ein will Oft Security Payload). Encapsulated und Header thentication von VPN-Clients (IPsec mit VerkehrAH und ESP: Au UDP-gekapselter sowie Protocol) Asso Management Key and Security ciation (Internet ISAKMP für NAT etwa funktioniert, Probleme Aufgaben ohne anspruchsvollere auch ben Testha Im verwendet.Firewall Stateful konventionelle eine Parameter,auch die alle Portnummern und Protokollen Ziel-IP-Adressen, und Quell- (NAT), tion PHP-gestütztes Frontend für Ulogd (ebenfalls Open Source). Letzteres ist ein Nulog und Source) (Open Nuface conf, Weboberflächeder innerhalb bereit:Nu Module drei stehen Administration ihre Für stellen. Beweis unter xistauglichkeit Pra ihre Edenwall die musste Test Im fallendste Merkmal der Firewall. NuFW erledigt Ersteres beziehen. Beide Module hat die französische Firma [4] [5] “ ). Von den INL-Gründern stammt INL-Gründern den Von ). in ihrer Firewall-Appliance Eden- vereinigt (siehe vereinigt [3] Kasten . „Hard [6] [2] . ------, Sysadmin oder Gruppen statische IP-Adressen. Der NuFW erkennt den Benutzer, von dessen schickt hat. Der Overhead bleibt dabei DHCP-Dienst identifiziert die Maschinen Account eine Verbindung stammt, an- sehr gering. Die Identity-basierten Re- anhand ihrer MAC-Adresse. Die Firewall- hand eines eigens auf dem Clientrechner geln in der NuFW sind permanent vor- Regelbasis muss dann darauf vertrauen, installierten Programms. Diesen NuFW- handen und folgen mobilen Benutzern dass die Zuordnung MAC/ IP stimmt und Client gibt es derzeit für Linux und Win- von Computer zu Computer. Edenwall dass sich am Computer nur der privile- dows und bald auch für Mac OS X. Auch ist es möglich, auf einer Multi- gierte Benutzer anmeldet. Damit lassen sich in der Edenwall Regeln User-Maschine, einem Mainframe oder Darüber hinaus gibt es die manuelle Au- anlegen, die anstelle von Quell-IP-Adres- Terminalserver einzelne Benutzer zu un- 83 thentifizierung über HTTP oder Telnet sen einen Benutzer oder eine Benutzer- terscheiden und ihnen andere Rechte zu gegen die Firewall. Dieses Feature imp- gruppe verwenden. Die Kombination ist geben, selbst wenn alle Pakete von der lementieren die meisten kommerziellen grundlegend anders und deutlich siche- gleichen Quell-IP-Adresse kommen.

Produkte; es leitet den ersten Webzugriff rer und flexibler als die herkömmliche Für die Authentifizierung einer Verbin- 10/07 Linux-Magazin von einem internen Rechner auf eine Implementierung mit Telnet- oder HTTP/ dung arbeiten Edenwall und Client-Com- Login-Seite um oder verlangt, dass sich HTTPS-Authentifizierung. puter zusammen: der User vorab per Telnet an der Fire- ■ Auf der Edenwall laufen eine Firewall wall anmeldet. Erst danach schaltet der Gut integriert mit NuFW und ein Authentication Regelsatz den Rechner frei, von dem die Server (Nuauth), die miteinander Authentifizierung stammt. Viel Mühe hat sich Hersteller INL damit kommunizieren. Das Verfahren ist umständlich für den gegeben, die Edenwall in ein Windows- ■ Auf dem Client ist der Nuwinc in- Anwender und bei Multi-User-Clients Umfeld zu integrieren. Das Produkt bin- stalliert, der sich nach dem Starten unsicher, da es immer für die Quell-IP- det sich an eine Active-Directory-Do- auf TCP-Port 4130 mit dem Authen- Adresse gilt. Admins setzen diese Tech- mäne (Abbildung 1) und es gibt neben tication Server verbindet. Über diese niken daher nur ein, wenn ihnen keine dem Linux- auch einen Windows-Client TCP-Verbindung authentifiziert spä- andere Wahl bleibt. (Abbildung 2). Die NuFW schafft es zu- ter Edenwall die bei ihr eintreffenden Glücklicherweise sind diese Arbeits- sammen mit dem Client (getestet: Nu- SYN-Pakete. Arbeiten mehrere Benut- weisen nicht per RFC oder anderweitig winc für Windows) festzustellen, wel- zer zur gleichen Zeit auf demselben in Stein gemeißelt, denn es geht besser: cher Benutzer welches TCP-Paket losge- Host, dann startet jeder seinen eige- nen Client. Sendet eine Applikation ein SYN-Paket für eine neue Verbindung, läuft das Paket erst einmal in eine Queue der Firewall- software NuFW (Schritt 1 in Abbildung 3). Die Firewall NuFW fragt dann beim Authentifizierungsdienst Nuauth nach, ob er das Paket authentifizieren kann (2). Nuauth nutzt die bereits vorhanden Verbindung, die von dem Client ausgeht, der auch das SYN-Paket gesendet hat. Nuauth fragt den Client nach den aktu- ellen Credentials (3, 4). Gibt es mehrere

Abbildung 2: Dank NuFW-Client (hier in der Windows- Version) authentifiziert sich der Benutzer an der Abbildung 1: Statt selbst jeden Account zu verwalten, greift Edenwall auf einen Directory-Service zurück. Zur Edenwall. Die filtert dann anhand der User-Kennung Wahl stehen LDAP und das Active Directory. und nicht anhand seiner Quell-IP-Adresse. 84 Sysadmin Linux-Magazin 10/07 Edenwall uäzih u ietttbsetn Fire identitätsbasierten zum Zusätzlich Zusatzschutz mon Hause telefonieren. nach Benutzers des Wissen ohne mer) kationen (Trojanische Pferde, Viren, Wür- fox ins Internet darf, aber nicht mit Inter dass Benutzer 1 auf TCP-Port 80 mit Fire- bestimmen, Beispiel zum kannRegel ne Applikation mit, die es geschickt hat. Ei dem authentifizierten Paket den Pfad der je mit schickt NuFW-Client Der höhen. er Sicherheit die die Featuresmit, zwei Edenwall-Appliance die bringt walling sich trivial fälschen, Nuauth nicht. lassen Ident-Angaben trauenswürdigist. ver Clients des Administrator der dass voraus, setzt und ausgelegt onsdienst Informati als nur ist er thentifizierung, Ident-Dae den an erinnert Schema Das weiteren Overhead zu erzeugen. ohne Netfilter, sich kümmert bindung VerPaketedieser weiteren alle Um (6). nicht oder ist erlaubt Benutzer diesen für Paket das ob dann, NuFW weiß sis Regelba der von Abhängig (5). handelt sich es Benutzer welchen um mieren, al i Frwlsfwr NF infor NuFW Firewallsoftware die Fall positiven im und passen Credentials die ob entscheiden, Nuauth kann Danach der Reihe nach jeden Client. Dienst der fragt Maschine, der auf User net Explorer.Appli net dass vermeidet, Das Hardware sparen und somit Hitzeentwicklung,au somit und sparen e Prwl NR56 Cmuiain Ap Communication NAR-5060 Portwell der auf basiert Edenwall-Hardware getestete Die pliance eüctn ds se ih em Trans beim sich sie dass befürchten, zu steht es und Socketarretiert dem in Bügel einem mit nicht leider ist Card CF- Die 1-GByte-Compactflash-Karte. einer 3-3-3)und Timing 400, (DDR RAM 533)unterZuhilfenahme MBytevon512 FSB und L2-Cache KByte 512 (mit GHz 2,8 mit 4 Pentium Intel ein rechnet Drinnen geeignet. mittlerebis HerstellerUnternehmenkleine für rationen. Die Firma INL hat sich jedoch sich hat INL Firma Die rationen. ßerdem sind Laptop-Festplatten unemp in ten un (rechts vorbereitet Zoll-Festplatte 2,5- eine für eigentlich ist Chassis Das Vibration lockert. durch Betrieb längerem bei oder port idihr eeüe Söe ud Vib und Stößen gegenüber findlicher [9] bidn 4 Abbildung Iet ezctt br u Au auf aber verzichtet Ident . [7] Ds 9Zl-akeä it laut ist 19-Zoll-Rackgerät Das . . i wre Strom würde Die ). ------Client installieren Programm. filtert, greift NuFW auf die Dienste von Nuauth zurück. Der kommuniziert wiederum mit einem eigens auf dem Integrity Checkpoint an erinnert Konzept Dieses Abbildung 3: Viren oder Ähnlichem infiziert. Im Grun mit Netzwerk selben im PCs andere PC verhindert Checkpoint Integrity, dass ein eine Personal Firewall zu blocken. Damit durch Client-PC des Netzwerkkarte der vor, verdächtige Applikationen bereits an Es gibt genug Beispiele, in denen Wür denen in Beispiele, genug gibt Es funktionieren. Integritätsmechanismen darauf verlassen, dass die Client-seitigen Admin kein zwar sich sollte sehr zu All neuem unter Konzept als Integrity vermarktet. jetzt und hat erworben 2004 Jahr im Checkpoint Personal die Firewall, Zonelabs eine um nur ware Hürde für Angreifer höher legt. die er da Schutz, dieser lohnt Dennoch verbirgt. Anwendung unveränderte eine dahinter sich dass nicht, garantiert Pfad mitgeschickte der Auch umgehen. oder abschalten Firewall Personal eine mer de handelt es sich bei dieser Clientsoft dieser bei sich es handelt de sind ein freier IDE- und ein Com-Port vorhan Com-Port ein und IDE- freier ein sind weiteren250-Watt-Netzteil. Des einzelnes ein sich kümmert Spannungsversorgung die Um ST340015A mit 40 GByte). (SeagateentschiedenBauform herkömmlicher in IDE-PATA-Festplatte eine für stattdessen [8] Damit die Firewall einen internen Benutzer erkennt und je nach Identität die Verbindungen Drn rdk set aber sieht Produkt Deren . 4. . 1 - - - - Der serielle Port an der Frontseite der Appli der Frontseite der an Port serielle Der Endkundennutzbarsind. den nicht für die den, uamn i dn migne ve Tasten vier umliegenden den mit zusammen bietet Es ein. durchdacht sehr INL setzt ance Appli der Frontseite der an LCD-Display Das ance ist deaktiviert. bildung 5 bildung der Edenwall fasst drei Komponenten zu Außerdem verfügt die Edenwall über ei über Edenwall die Außerdemverfügt mt e I-des 121811 vor 192.168.1.1 IP-Adresse der mit – »GbE1« Port dem auf sie ist Einschalten (siehe groß Höheneinheit eine und Rack ausgelegt fürs ist Edenwall-Appliance Die Installation erreichbar ( erreichbar HTTPS mit Browser per – konfiguriert ware oder gar VPN-Lösungen. ( darf laufen HTTP nur TCP-Port80 auf dass bestimmen, so sich lässt setzen ( L7-Filter nen i I-desn Rue ud anderen und Routen IP-Adressen, mit Appliance versorgtdie Nuconf sammen: Firewalls.Auch Proxyeinen ohne einzu konventionellen meisten die als tokolle erweitern kann, erkennen weit mehr Pro Patterns, die man übrigens selber einfach (links unten) wäre es sinnvoll gewesen, den Halter rechts unten mit einer Note vorgesehenen Seagate-PC-Festplatte lation und zum Komplett-Reset. Statt der Modul (Mitte unten) dient zur Neuinstal stammt von Portwell. Das Compactflash- Abbildung 4: book-Platte zu bestücken. Wege wieder freischalten. HTTPS-Administrationdie er diesem auf per Regelwerk selbst ausgesperrt, kann Admin der sich Hat Funktion: clevere sehr eine sowie Reboot und Shutdown Beispiel zum wie Funktionen nützliche Kasten ud en Peer-to-Peer-Soft keine und ) Abbildung 6 Abbildung 3. [3] Die Hardware der Edenwall „Hardware NuFW , Version 2.9). Dessen Version2.9). , 2. 5.

Nuauth ). Das Web-GUIDas ). “ ). Nach dem Nach ). 6.

- Ab ------Sysadmin Edenwall

85 Linux-Magazin 10/07 10/07 Linux-Magazin

Abbildung 5: Mit Hilfe eines L7-Filters kann Edenwall ein Protokoll nicht nur anhand der Portnummer erkennen, sondern auch anhand der Daten, die es übermittelt. Mit der HTTP-Strict-Einstellung darf Abbildung 6: Bei der Erstinstallation gibt der Admin per Nuface-GUI die wichtigsten Parameter der Appliance auf Port 80 nur HTTP-Verkehr passieren. vor. Dass das externe Netz immer am Interface »GbE0« angeschlossen ist, erscheint unnötig starr.

Parametern. Nuface ist das Frontend zu ■ Systemzeit und Zeitzone müssen auf der Hersteller mit einem Patch reagieren. NuFW. Dort legt der Admin seine Regel- dem AD-DC (Active Directory Domain Einmal davon wurden die Tester für den basis an. Nulog ist ein Frontend für den Controller) und der Edenwall-Appli- Remote-Zugriff des Herstellers aufgefor- Netfilter-Ulogd [6]. Das GUI der Eden- ance übereinstimmen. Am besten dert, über eine versteckte Funktion im wall verwendet leider auch diese krypti- klappt dies, wenn der AD-DC als GUI einen SSH-Daemon auf der Appli- schen Bezeichnungen. NTP-Zeitserver im Edenwall-GUI ein- ance zu aktivieren, der nur den Key des Die ersten Einstellungen sind in Nuconf getragen ist. Herstellers zum Login akzeptiert. Nötig zu tätigen. Die Firewall braucht mindes- ■ Der interne AD-Nameserver muss in war dies, weil das Logging beim Einbin- tens eine IP-Adresse auf ihrem externen der Edenwall eingetragen sein und den in die Domain sehr dürftig ausfällt. Interface (»GbE0«), einen internen Port funktionieren. Gescheitert war die Inbetriebnahme des sowie einen Directory-Service mit der ■ Der Benutzeraccount, mit dem sich Geräts an einem DNS-Bug und einem User-Datenbank. Als Directory-Service die Edenwall in die AD-Domain ein- NAT-Device. kennt sie Active Directory und LDAP klinkt, muss korrekte Rechte besitzen. (siehe Kasten „Edenwall mit LDAP“). Im Test kam ein Windows 2003 Enter- NAT-Hürden Bei der anschließenden Konfiguration prise Domain Controller als AD zum Ein- der Edenwall als Member-Server im Ac- satz. Die Tester haben viel Zeit darauf Das Sicherheitskonzept der NuFW kann tive Directory ist zu beachten, dass alle verwendet, die Edenwall-Appliance zur nicht akzeptieren, dass NAT die Quell- Komponenten sauber funktionieren: AD-Domain zu joinen. Zweimal musste IP-Adresse und -Portnummer auf dem Weg zur Edenwall verändert. Bei den Edenwall mit LDAP meisten Source-NAT-Konfigurationen auf Der Hersteller der Edenwall geht davon aus, ■ Danach den Eintrag »sambaDomain« in der Routern verstecken sich mehrere Quell- dass seine Appliance meist in einer Active-Di- Datei »/etc/smbldap-tools/smbldap.conf« IP-Adressen hinter einer einzigen NAT- rectory-Umgebungen Arbeit findet. Dennoch anpassen. IP-Adresse. Die üblichen NAT-Imple- ist es möglich, die User-Datenbank auch in ■ Das Kommando »smbldap-populate« auf- mentierungen modifizieren dann den einem OpenLDAP-Server vorzuhalten. Der Weg rufen. Quell-Port der TCP/ UDP-Pakete, wo- dahin ist allerdings steinig. Die Programmierer Benutzer hinzufügen und Passwörter setzen durch es NuFW unmöglich wird, die Be- haben auf Anfrage die wichtigsten Schritte geht im Prinzip so: nutzer zu unterscheiden. skizziert. Der einfachste Weg geht über die smbldap-useradd -u 1501 user1 Wenn der Directory Service funktioniert, Smbldap-Tools [10] und Samba: smbldap-usermod -G 'Domain Users' user1 ■ Smbldap-Tools, Samba und Slapd installie- sind ein paar Feineinstellungen an der smbldap-useradd -u 1502 user2 ren. Reihe, zum Beispiel ob der eingebaute smbldap-usermod -G 'Domain Guests' user2 ■ »samba.schema« ausgepackt nach »/etc/ Squid-Proxy mit einem Virenscanner ar- smbldap-passwd user1 ldap/schema« kopieren. beiten soll oder ob Edenwall als DHCP- Dann sollte der Admin das Howto der Smbldap- Zum Schluss – wie zu sehen – muss der Admin Server dient. Danach gilt es, die Client- Tools (»smbldap-tools.pdf.gz«) abarbeiten: noch sicherstellen, dass jeder Benutzer zu software auf den PCs zu verteilen. Für ■ Die Zeile »include /etc/ldap/schema/ mindestens einer Gruppe gehört. Bleibt zu Windows kommt der bereits erwähnte samba.schema« in die Datei »/etc/ldap/ hoffen, dass sich INL der Bedeutung von LDAP Nuwinc zum Einsatz. Für Linux gibt es slapd.conf« einfügen. bewusst wird und die Prozedur vereinfacht. den Kommandozeilen-Client »nutcpc« 86 Sysadmin Linux-Magazin 10/07 Edenwall idn 7 bildung Abbildung 7: wel festzustellen, auch sondern öffnen, zu UDP-Ports oder TCP- stur nicht da, dafür sind L7-Filter Benutzer). ein IP-Adresse, nie eine (immer Pakets eines Res Subjekten, aus (ACLs)Accesslisten die Nuface baut Konfiguration der Bei Konfiguration mit Nuface die Gnome-Applikation Nuapp. und Nuapplet Gnome-Applet das sowie Verbindungen aller Benutzer zusammen, die sich erfolgreich authentifiziert haben. jekt an, das als Quelle von Verbindungen in den ACLs dient. Das Subjekt »authenticated.users« fasst die bei der weiteren Arbeit am Ende der Reder Ende am weiterenArbeit der bei Und es scheint kaum möglich, diese ACL verbietenzu sauber che loggen). zu und – deny – log, um alle unerlaubten Versu nur auf Layer 3 möglich ist (any – any – any Cleanup-ACL saubere Eine gestört: Testerbesonders die haben Dinge Zwei entsteht. Ablauf verständlicher Admin jeden für ein Ende am dass zähmen, zu so Edenwall der Funktionen vielen die GUI störrisch. Es scheint schwer zu sein, Nuface- das sich gibt Stellen vielen An Port verwendet. ches Protokoll tatsächlich den jeweiligen PaketsIP-Adresse, eine oder Benutzer (ein eines Quelle die Edenwall die versteht Subjekt Unter sammengesetzt. Workinggenannten so zu aus Elements sind Elemente diese Alle auf. L7-Filtern sourcen, Protokollen, Applikationen und Nuface zeigt sich beim Administrieren reichlich unübersichtlich. Hier legt der Admin ein Sub- ; esucn inn l Ziel als dienen Ressourcen ); Ab ------as em et il et ü de Einar die für Zeit viel Test beim Dass erschließt sich nicht. Ansichten einzelnen der Bedeutung Die beeinflussen. Drop & Drag per GUI des Ansichten bestimmten in nur sich lässt gelbasis zu halten. Die Abfolge der ACLs nach Auskunft des Herstellers die Eden die Herstellers des Auskunft nach kommt Tester der Erstaunen zum Sehr len Firewalls. konventionel bei als ist besser deutlich Edenwall der hinter Idee die da är gerlich, besonders sind Schwächen lichen oberfläch Diese nötig. Manual ins kurs Ex längerer ein ist lassen, verwenden »nufw_« Element Working dem mit ten User-Identitä sich dass herauszufinden, ganz zu sie löschen und neu anzulegen. Um noch, nur hilft Oft ändern. wieder manchmal nur sich lassen ACLs gelegte an Bereits ab. Symbole zerfreundliche ration läuft schmucklos und ohne benut Konfigu WeboberflächeDie anzulasten. der größtenteils ist war, nötig Setup im Fehlernvon Aufspüren das und beitung Bildungsministerium als einem Pilotkun französischen beim NuPKI läuft Derzeit sein. enthalten Site-to-Site-VPN mit men zusam Edenwall-Release nächsten der dem Namen NuPKI entwickelt. Es soll in steller INL hat dazu ein neues Modul mit Smartcardszurecht.Her Zertifikateund wall auch mit Userauthentifizierung über ------ebenfalls die Nato-C3-Agentur in Den Haag. BereichenSeintätig. derzeitiger Arbeitgeber ist Patrick Nest ist seit 1999 in unterschiedlichen IT- IP und Security. TCP/Balancing, Load Themen den zum beiträge Fachzahlreicher Autor ist Nato-C3-Agentur.Er der bei Security Information & Communication IT-Sicherheit.und lung Engineer 2003er Seit ist Software-Entwick Bereichen den in schließend m U. s s uüesctih und unübersichtlich ist schwer bedienbar. Mehr als etwa 100 Ac Es GUI. am Edenwalldie zeigt vorallem Schwächen Innere Werte für ein zukunftssicheres Produkt. damit sorgt und 2.2 NuFW-Release der den. Sogar um IPv6 kümmert sich INL in Jörg Fritsch studierte Chemie und arbeitete an arbeitete und FritschChemie Jörgstudierte [10] [9] [8] [7] [6] [5] [4] [3] [2] [1] Infos nau in die richtige Richtung. zu etablieren. Die Edenwall geht hier ge Markt dem auf Rechten und Identity-basierten Systemen von Akzeptanz die dem unter VerständnisSchlagwortdas „AAA“) und (etwa Hersteller suchen ver Jahren Weg.Seit richtigen dem auf Edenwall-Appliancedie aber und NuFW sind erschwerten, Start den die Bugs, beiden der und Schwächen und Fehler Trotz nicht. überzeugt Appliance teten herrschen. Auch die Hardware der getes esitn asn ih ai ku be kaum damit sich lassen cesslisten Die Autoren Netfilter: Portwell: Jörg Harmuth, „Netfilter-L7 – Firewal Marc André Selig, „Vorstellungsgespräch Danny Quick, „Log-Hilfe – IPtables-Fire Edenwall: NuFW: INL: Checkpoint: Smbldap-Tools: – Identd“: Linux-Magazin 03/ 05, S. 66 Schicht-7-Protokolle“: Linux-Magazin ling und Traffic Shaping mit Analyse der statten“: Linux-Magazin 11/ 05, S. 78 products/ [https:// NAR products/ 02/ 06, S. 66 wall mit Userspace Logging Daemon aus - [http:// 5060] [http:// gna. [http:// detail. [http:// integrity/] [http:// www. [http:// org/ www.

asp?CUSTCHAR1= projects/ www. www. inl. www. nufw. www. fr] portwell. netfilter. edenwall. org] checkpoint. smbldap (fjl) org] com/ com]

-tools/]

com/ -

- - ■ ------