Mit Core Update 201 erhält IPFire 2.29 eine DNS Firewall und aktualisiert zentrale Systembestandteile. Die neue Funktion gleicht DNS-Anfragen mit einer projekteigenen Blockliste ab und blockiert nach Angaben der Entwickler unter anderem Domains für Malware, Phishing und Werbung, bevor überhaupt eine Verbindung zustande kommt. Das Projekt selbst spricht von der größten Erweiterung seit Jahren.
IPFire ist eine Firewall-Distribution, die als zentrale Schutzinstanz vor dem Netzwerk sitzt und den DNS-Verkehr über einen eigenen Proxy leitet. Genau dort setzt die DNS Firewall an: Sie soll netzweit wirken, ohne dass Administratoren einzelne Clients konfigurieren oder zusätzliche Systeme betreiben müssen.
DNS-Anfragen gegen Blockliste
Technisch prüft IPFire jede DNS-Anfrage gegen die hauseigene Blockliste IPFire DBL. Trifft eine Anfrage auf einen gesperrten Eintrag, antwortet das System mit NXDOMAIN – für den Client wirkt die Domain dann so, als existiere sie nicht. Eine IP-Adresse erhält er gar nicht erst, ein Verbindungsversuch findet nicht statt. Ruft etwa ein Webbrowser eine bekannte Phishing-Domain auf, scheitert er bereits an der Namensauflösung.
Die Updates für die Blocklisten verteilt IPFire per IXFR (Incremental Zone Transfer) direkt in den DNS-Proxy. Dabei überträgt der Server ausschließlich Änderungen an einer DNS-Zone statt jedes Mal die komplette Liste. Laut Projekt landen neue Einträge so automatisch und innerhalb einer Stunde im System, bei geringer Bandbreitenlast.
IPFire will mit der DNS Firewall zugleich ältere Ansätze ablösen, wie den bisherigen URL-Filter und separat betriebene DNS-Blocker im Netz. Vorteile sieht das Projekt vor allem darin, dass weder Client-Konfiguration noch zusätzliche Hardware nötig sind.
Detailänderungen am System
Hinzu kommen mehrere Detailänderungen: Für das Intrusion Prevention System lassen sich tägliche, wöchentliche und monatliche Berichte an unterschiedliche Empfänger schicken – praktisch, wenn verschiedene Personen die jeweiligen Reports auswerten müssen. Der Network Installer reserviert beim Booten aus dem Netz mehr Platz für das gewachsene ISO. Firewall-Regeln für den Web-Proxy legt IPFire jetzt mit dem Schalter --wait an, um Race Conditions beim Einfügen zu vermeiden. Nicht mehr benötigte Rust-Pakete sind aus der Distribution geflogen, was Build-Aufwand und Angriffsfläche verringern soll. Für die experimentellen RISC-V-Builds haben die Entwickler die Kernel-Konfiguration überarbeitet.
Bei den Add-ons haben die Maintainer im Paket Wireless Access Point die Beschreibung des Neighbourhood Scan korrigiert und eine niederländische Übersetzung ergänzt. Aktualisiert wurden außerdem mehrere Zusatzpakete, darunter ddrescue, Git, Postfix, Samba und tshark. Das 7-Zip-Paket hingegen ist aus der Add-on-Sammlung verschwunden: Das Upstream-Projekt werde nicht mehr gepflegt und passe damit nicht mehr zur Sicherheitsausrichtung von IPFire, begründen die Entwickler den Schritt.
Das Update lässt sich wie üblich über Pakfire einspielen. Anschließend empfiehlt das Projekt einen Neustart, damit alle Komponenten in den neuen Versionen laufen. Weitere Details stehen in den Release Notes auf der IPFire-Webseite.
(fo)
English (US) ·