pfSense kann TMG ablösen
TMG erreicht EOL
|29.06.2015|
TMG, das Thread Management Gateway hat seinen EOL (End-of-Life) Produktzyklus erreicht und wird nur noch im sogenannten "extended Support" durch Microsoft unterstützt.
Eine schwierige Situation insbesondere für TMG-Kunden, da Microsoft nun kompletten Vertrieb und die Entwicklung seiner Sicherheitslösungen einstellt. Weder Gateway-Security (TMG) noch Antiviren-Schutz (Security Essentials) werden fortgeführt. Das mischt die Karten im wichtigen Sicherheits-Segment für Netzwerke neu und die etablierten Hersteller freuen sich auf neue Kunden.
Zeit für einen Marktüberblick, der sowohl die Lösungen bekannter Hersteller als auch den Bereich „freier Software“ (Open Source) beinhalten sollte.
Wie funktioniert Open Source?
Am Anfang und im Zentrum einer jeden Softwareentwicklung steht der Source Code. Dieser ist, bevor er von Maschinen in binäre Norm übersetzt wird, lesbar. In dieser Form wird er geschrieben, gelesen, korrigiert und verbessert. Bei Open Source wird dieser Code unter eine spezielle Lizenz gestellt und durch sie geschützt, in dem Sinne, dass der Zugriff und Einblick in den Quellcode für jedermann frei zugänglich ist.
Diese Freiheit, den Source einsehen, prüfen und anpassen zu können, gibt den Nutzern von Open Source Kontrolle, Macht und Beweglichkeit und verhindert Nutzungseinschränkungen durch Unternehmen mit Besitzrechten, gar Monopole. In jüngster Zeit gewinnt er auch mit Blick auf geheimdienstliche Aktivitäten Bedeutung. Seit die Großen der Branche in USA mehr oder weniger zugegeben haben, von der NSA gezwungen worden zu sein, Zugriffe auf Ihre Systeme zu ermöglichen, ist auch nicht mehr auszuschließen, dass in Sicherheitslösungen Hintertüren eingebaut wurden oder werden. Diese werden „berechtigt Interessierten z.B. zum Schutz der nationalen Sicherheit“ ermöglichen, eben diese Sicherheitsstruktur zu umgehen.
Es ist zwar nicht ganz auszuschließen, dass in Open Source Projekten ebenso Angehörige der Geheimdienste mitarbeiten, die Offenheit des Codes erschwert das Einbringen unerwünschter „Backdoors“ jedoch erheblich.
Der Open Source Nutzer kann den Lieferanten für eine Lösung frei wählen und wechseln, da es keine Bindung an eine proprietäre Technologie und kein Abhängigkeitsmodell der Softwarebeschaffung, gibt. Auch kann er im Zweifel Fehler des Softwareproduktes selbst beheben, da er über den Quellcode verfügt. Die Offenlegung des Codes lässt auch dessen Qualität offen beurteilen. Fehlfunktionen oder Designschwächen lassen sich vom Software-Ersteller nicht verborgen halten. Gerade durch das Internet und seine globalen, vernetzten Strukturen ist das Potential korrektiv wirkender Einzelner und Gruppen groß und hat starken positiven Einfluss auf die Codequalität. Fehler werden oft schnell gefunden, lassen sich transparent am Code beweisen und auch schnell korrigieren.
Kommerzielle Lizenzen: Vor- und Nachteile
Beispiel: Content Management Systeme (CMS) - Kommerzielle CMS sind kostenpflichtig und müssen bezahlt werden. Darüber hinaus fallen häufig jährliche Wartungsgebühren an. Ein Update muss ebenfalls teuer eingekauft werden.
Meistens handelt es sich bei kommerziellen Lösungen um "Closed Source", also nicht im Quellcode einsehbare, abgeschlossene Systeme. Sicherheitsspezifische Aspekte (Sicherheitslücken oder sicherheitsrelevante Fehlfunktionen) können daher nicht vorab im Quellcode ersehen und vielleicht selbst korrigiert werden.
Bei Open Source Systeme kann man bei stark verbreiteter Software (wie z.B. Typo3) von einer breiteren Installationsbasis als bei kommerziellen Ansätzen ausgehen. Eine Optimierung durch vielfältige Erfahrungen und ausgiebigere Tests sind dadurch gegeben.
Der Support bei auftretenden Problemen ist bei kommerziellen CMS kostenpflichtig. Austauschmöglichkeiten wie Foren oder Mailinglisten werden häufig nicht angeboten und sind meist nur im Open Source Lager zu finden.
Beispiel: Sicherheitssysteme - Im Security-Bereich sind viele Open Source Entwicklungen zu finden. Teils, weil der Code eingesehen werden kann und somit eine objektive Sicherheitsprüfung möglich ist, teils, weil so auch individuelle und außergewöhnliche Anforderungen in Form von Individualentwicklungen oder -erweiterungen möglich sind. Da der Bereich Sicherheit sehr sensibel für Unternehmen ist, sind diese auch auf professionellen Support angewiesen. Insbesondere Anbieter von Security Software wie Einbruchssicherung (IDS) und Netzwerkschutz (Firewall / Spamschutz) bieten Support, der hinsichtlich Leistung, aber auch Kosten mit dem kommerzieller Anbieter durchaus auf gleichem Level steht.
Kommerzielle Angebote bieten teils eine höhere Zukunftssicherheit als Open Source. Sollten Entwickler keine Zeit oder kein Interesse mehr an ihrem Projekt besitzen, kann die Entwicklung eines Open Source Systems jederzeit eingestellt werden. Die Weiterentwicklung im kommerziellen Rahmen kann vertraglich abgesichert werden (zumindest für einen gewissen Zeitraum). Allerdings können Hersteller kommerzieller Software jederzeit auch eine Beendigung des Vertriebs bzw. der Weiterentwicklung beschließen - Beispiel Microsoft’s Sicherheitssparte.
Fazit
Die Anwender der Software sollten nicht vergessen werden - sie sind der Grund, weshalb die Software überhaupt existiert. Sie benutzen die Software für ihre tägliche Arbeit und ihnen wird als erstes ein Fehler in der Software auffallen. Die Anwender haben im OpenSource-Bereich auch eine Aufgabe. Sie melden Fehler, die sie an der Software entdecken, an Distributor oder Maintainer. So besteht eine Chance, dass Fehler frühzeitig behoben werden.
Open Source-Software bietet aufgrund des fortschrittlichen Entwicklungsmodells einen Qualitätsvorsprung gegenüber proprietärer Software. Durch die Möglichkeit, dass jeder mitentwickeln darf, wird genauer auf den Bedarf der (meist programmierfähigen) Anwender eingegangen. Proprietäre Softwareschmieden passen teilweise ihre Entwicklungsprozesse an die Methoden der OpenSource-Szene an. An die endgültige Bandbreite eines Projektes wie z.B. des Linux-Kernels wird allerdings kein proprietärer Hersteller herankommen.
FreeBSD
FreeBSD ist ein freies und vollständiges unixoides Betriebssystem, das direkt von der Berkeley Software Distribution abstammt. Mit einer Community aus fast 390 dauerhaft aktiven, offiziellen und Tausenden mitwirkenden Entwicklern gehört FreeBSD zu den größten Open-Source-Projekten. Obwohl der Fokus der Entwickler auf der Erstellung einer stabilen Software-Plattform für Server und Appliances liegt, wird es auch auf Desktop-Computern verwendet. FreeBSD kommt hauptsächlich bei Internetdienstanbietern wie zum Beispiel Yahoo und Strato, in Internet-Backbone-Systemen wie Hochleistungsroutern und Namensdiensten sowie als Webhosting-Plattform zum Einsatz. Dort belegt es regelmäßig die vordersten Plätze in der Liste der zuverlässigsten Systeme.
Mehrere Standards im Bereich der Rechnernetze, wie beispielsweise IPv6, wurden von FreeBSD zuerst umgesetzt und verbreiteten sich von dort aufgrund der freizügigen BSD-Lizenz auch auf andere Systeme, unter anderem nach OpenBSD und Linux. Außerdem ist FreeBSD teilweise die Grundlage für Darwin, die Open Source-Plattform von Apple, auf der OS X basiert.
Seither wurde das Betriebssystem auf diverse andere Plattformen portiert und hat sowohl an Funktionen als auch an nativ unterstützter Software von Drittanbietern zugenommen. Aufgrund seiner Projektgröße und Verbreitung, ohne dabei öffentlich in Erscheinung getreten zu sein, wird FreeBSD auch inoffiziell als unbekannter Riese unter den freien Betriebssystemen bezeichnet. Neben diversen Derivaten haben sich aus dem Projekt heraus mehrere Organisationen gegründet, die sich die Förderung von FreeBSD und der BSD-Familie zum Ziel gesetzt haben. Hierzu gehören z.B. die FreeBSD Foundation und die BSD Certification Group.
FreeBSD bietet Linux-Binärkompatibilität. Das bedeutet, dass Programme, die für GNU/Linux geschrieben und kompiliert wurden, unter FreeBSD ausgeführt werden können. Dies bietet vor allem die Möglichkeit, Programme, die nur in kompilierter Form für Linux erhältlich sind (wie z. B. Adobe Reader, Adobe Flash Player, Skype) unter FreeBSD zu nutzen. Zurzeit können allerdings nur 32-Bit-Linux-Programme auf diese Weise ausgeführt werden. Die Linux-Binärkompatibilität wird häufig Linux Emulator oder Linuxulator genannt. Technisch gesehen nutzt dieses Feature allerdings keine Emulation, sondern es beruht auf der Implementierung einer ABI.
Der Wartungszeitraum beträgt je nach Release und Priorität zwischen 6 und 24 Monaten. Das Betriebssystem wurde 11/1993 entwickelt und trägt inzwischen die Versionsnummer 10.1.
pfSense
Die pfSense Firewall vereinigt die Vorteile der Open Source Firewall mit einem leicht bedienbaren Webinterface. Mit modularen Erweiterungen können die bereits umfassenden Grundfunktionen der Firewall noch erweitert werden.
Der Name pfSense setzt sich zusammen aus dem Namen des verwendeten Paketfilters pf und dem englischen Begriff sense, welcher hier verwendet wird im Sinne von "making sense of pf". Dies lässt sich sinngemäß übersetzen zu "pf einen Sinn ergeben", "pf sinnvoll machen", "aus pf schlau werden", bzw. "pf einleuchten lassen".
pfSense hat besondere Merkmale, welche sie teils über alle vergleichbaren Produkte als herausragende Wahl kennzeichnen:
- Standard-Hardware
- wartungsfreundlich, preisgünstige Ersatzteile
- benötigt kleines Device mit geringem Stromverbrauch
- Firewall-Software erfordert keine spezielle Server-Software
- das Betriebssystem ist speziell für Firewall-Einsatz gehärtet
- alle nicht benötigten und sicherheitsempfindlichen Module sind entfernt
- Betriebssystem und Firewall sind zuverlässig seit Jahren im Einsatz
- das System unterstützt mehrere Netzwerkkarten
- Beispiel: Anschluss von zwei Internet-Service-Providern
- bei Einsatz mehrerer ISPs (siehe oben) Failover / Lastenausgleich
- zahlreiche ergänzende Module für unterschiedliche Anwendungen verfügbar
(c) 2011 ppcw.com - alle Rechte vorbehalten