Linux-Firewall IPFire mit GeoIP-Filter
Im neuen Update 90 der Linux-Firewall IPFire 2.17 beschleunigen die Entwickler zudem verschiedene Crypto-Algorithmen, schalten anfällige SSL-Versionen ab und verbessern das Zusammenspiel zwischen IPSec-Server und dem IPSec-Windows-Client.
Das Core-Update 90 der Linux-Firewall IPFire 2.17 aktualisiert nicht nur zahlreiche Softwarepakete und Voreinstellungen. Dank Spenden könnten die Entwickler die Firewall nun um einen GeoIP-Filter erweitern, der ein- und ausgehenden Netzwerkverkehr anhand geografischer Daten (GeoIP) blockieren oder passieren lässt.
Der Filter erschwert automatische Scans nach verwundbaren Diensten und hilft, die eigenen Angebote abzusichern: So lassen sich etwa leicht die von Schadsoftware genutzten Command-and-Control-Servern blockieren und Fernwartungszugänge auf einzelne Länder beschränken. Kommuniziert man eher selten mit bestimmten Regionen, legt man beispielsweise Limits für neue Verbindungen aus diesen Ländern fest.
Außerdem haben die IPFire-Entwickler für sämtliche Dienste in der Firewall-Distribution SSLv2 und SSLv3 per Vorgabe abgeschaltet. Die beiden SSL-Versionen gelten als veraltet und anfällig für Angriffe, sodass man sie nicht mehr nutzen sollte.
Mehr Geschwindigkeit bei der Verschlüsselung soll es durch eine optimierte Userspace-Bibliothek geben, die Cryptdev ersetzt. Falls vorhanden, beschleunigt sie automatisch per Hardware (VIA Padlock/AES-NI) die AES-Verschlüsselung. Aber auch andere Algorithmen sollen von dieser Änderung profitieren, schreiben die IPFire-Autoren weiter.
Die vom aktualisierten Openssl 1.0.2a verwendete Bibliothek libcrypto.so.10 liegt IPFire jetzt in zwei Versionen bei: Die erste Version wurde mit den üblichen Standards übersetzt und läuft auf allen Systemen. Die zweite mit zusätzlichen Einstellungen übersetzte Version kommt nur auf SSE- und SSE2-tauglichen Rechnern zum Einsatz, was etwa 86 Prozent aller Systeme betreffen soll.
IPFire enthält den IPSec-Server StrongSwan in Version 5.3.0, der dank eines zusätzlichen Patch besser mit dem einbauten IPsec-Client unter Windows zusammenspielt. Durch einer weitere Änderungen generiert StrongSwan per Vorgabe CA-Root-Zertifkate mit 4096 Bit Schlüssellänge. Neue Client-Zertifikate haben jetzt eine Schlüssellänge von 2048 Bit und als Hash-Algorithmen kommen SHA-512 und SHA-256 zum Einsatz. Bereits vorhandene Zertifikate lassen sich nicht konvertieren, merken die Entwickler an. Weitere Details zu den Änderungen und Software-Updates verrät das Release-Note auf der IPFire-Webseite. (rek)
