Bei der VPN-Konfiguration bestand in der letzten Version der Endian-Firewall Nachholbedarf. Die Oberfläche der neuen Version ist deshalb neu gestaltet und hat eine Zertifikatsverwaltung mit eigener Certification Authority (Zertifizierungsstelle) erhalten, die X.509-Zertifikate für die VPN-Module erzeugt. Alternativ generiert die CA auch einen Certificate Signing Request (CSR) für externe CAs und verwaltet so auch offizielle Zertifikate.
Wer bei der Installation die IP-Adresse für die interne Netzwerkschnittstelle der Firewall geändert hat – Standard ist 192.168.0.15 –, muss zunächst ein neues Root-Host-Zertifikat erstellen. Zunächst sperrt man das alte Root-Zertifikat unter
»Zertifikat | Zertifikat sperren
«
und erzeugt unter
»Zertifizierungsstelle | Neue Root/Host Zertifikate erstellen
«
ein neues.
Der integrierte OpenVPN-Server verwaltet nun auch TUN-Interfaces, was insbesondere bei der Anbindung von Smartphones und Tablets hilft. Endian hat auch das IPsec-Modul auf StrongSWAN 5.1 aktualisiert und integriert damit neben IKEv2 zusätzliche Verschlüsselungsalgorithmen wie Blowfish, Twofish, Serpent, SHA2 und AES-XCBC.
Auch die Benutzerverwaltung des VPN-Moduls hat eine Erneuerung erfahren: Neben lokalen Benutzern legt man darüber jetzt auch externe Server für die Authentifizierung von VPN-Benutzern an. Das Modul unterstützt nativ LDAP, Active Directory und Novells eDirectory. Weiterhin lassen sich Benutzergruppen aus Verzeichnisdiensten synchronisieren und lokale Benutzer in Benutzergruppen organisieren ( Abbildung 5 ). Auf diese Weise ordnet man zum Beispiel Benutzergruppen gemeinsame VPN-Dienste oder -Parameter zu.
Die Hotspot-Funktion gehört seit Langem zu den etablierten und häufig eingesetzten Features der Enterprise-Firewall. Das integrierte Captive-Portal richtet Gastzugänge ein und mit dem Account-Generator legt der Admin Benutzerkonten manuell an. Alternativ gibt es mit Endian Smart Connect ein Self-Service-Feature, das Benutzern Zugangsdaten per SMS oder E-Mail automatisch zustellt. Ob die Tickets kostenlos sind, legt der Admin fest; falls nicht, erfolgt die Abrechnung über PayPal oder Kreditkarte.
In der neuen Endian-Version bindet auch der Hotspot externe Authentifizierungssysteme an, namentlich LDAP, Active Directory, Novell eDirectory sowie RADIUS. Daneben erstellt er zeitlich begrenzte Tickets für die Hotspot-Nutzung, beispielsweise um Benutzern täglich eine Stunde Internet-Zugang zu gewähren. Neu ist auch die Funktion
»Hotspot SmartLogin
«
. Ist sie aktiviert, liest der Hotspot die Zugangsdaten aus einem Session-Cookie des Browsers aus, die Benutzer brauchen dann ihre Zugangsdaten nicht immer wieder neu einzugeben.
Auch der Reporting-Bereich hat ein Facelifting erhalten: das neue Dashboard liefert nun auf einer übersichtlichen Timeline eine Zusammenfassung der wichtigsten Events, etwa über geblockte Viren, ein- und ausgehende E-Mails, Angriffsversuche und den Webverkehr. Die Live-Protokolle helfen außerdem, die wichtigsten Events schnell in übersichtlicher Tabellenform zusammenzustellen. Dank der zusätzlichen Filterfunktion lassen sie sich zum Beispiel für die Fehlersuche immer weiter eindampfen.