]> git.ipfire.org Git - ipfire.org.git/blob - templates/static/features.html
projects / ipfire.org.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
Massive web site update
[ipfire.org.git] / templates / static / features.html
1 {% extends "../base.html" %}
2
3 {% block title %}{{ _("About IPFire") }}{% end block %}
4
5 {% block container %}
6 <div class="container page-header">
7 <h1>{{ _("About IPFire") }} <small>{{ _("The Open Source Firewall Distribution") }}</small></h1>
8 </div>
9
10 <section id="intro" class="text-center">
11 <div class="container">
12 <img src="{{ static_url("images/tux/ipfire_tux_512x512.png") }}" alt="IPFire Logo" />
13
14 {% if lang == "de" %}
15 <p>
16 <strong>IPFire</strong> wurde mit Augenmerk auf Modularität und einem hohen
17 Level an Flexibilität entwickelt. Es ist kinderleicht verschiedene Konfigurationen
18 zu installieren, wie zum Beispiel eine Firewall, einen Proxy-Server oder ein
19 VPN-Gateway.
20 Das modulare Design stellt sicher, dass nur exakt die Module laufen, die auch
21 benötigt werden und nichts weiter.
22 Erweiterungen und Updates lasses sich durch einen Paketmanager einfach
23 verwalten und aktualisieren.
24 </p>
25 <p>
26 Das IPFire Entwicklerteam ist sich im Klaren, dass Sicherheit von Anwendungsfall
27 zu Anwendungsfall ganz verschieden aussehen kann und sich auch über die Zeit
28 verändert.
29 Für diesen Fall erlaubt die Modularität und Flexibilität eine einfache
30 Integration in jede bestehende Sicherheitsarchitektur.
31 Nicht zu vergessen ist, dass Einfachheit in der Bedienung eine
32 Schlüsseleigenschaft ist.
33 Wenn all dies im Moment ein wenig viel klingt, so ist ein sinnvoller
34 Einsatz von IPFire schon sofort nach der Installation möglich.
35 </p>
36 {% else %}
37 <p class="lead">
38 <strong>IPFire</strong> was designed with both modularity and a high-level of
39 flexibility in mind. You can easily deploy many variations of it, such as a firewall,
40 a proxy server or a VPN gateway.
41 The modular design ensures that it runs exactly what you've configured it for and
42 nothing more. Everything is simple to manage and update through the package manager,
43 making maintenance a breeze.
44 </p>
45 <p>
46 The IPFire development team understands that security means different things to
47 different people and certainly can change over time.
48 The fact that IPFire is modular and flexible make it perfect for integrating
49 into any existing security architecture.
50 Don't forget that ease-of-use is a key principle.
51 If all this sounds a little too much for you, IPFire comes with great default
52 settings out-of-the-box, meaning it's a snap to get going quickly!
53 </p>
54 {% end %}
55 </div>
56 </section>
57
58 <section id="security" class="lighter-background text-center">
59 <div class="container">
60 <div class="page-header">
61 <h1>{{ _("Security") }}</h1>
62 </div>
63
64 {% if lang == "de" %}
65 <p>
66 Das Hauptaugenmerk von IPFire liegt bei Sicherheit.
67 Gerade bei einem solch umfangreichen Thema gibt es nicht nur einen einzigen
68 Weg, um ein maximales Maß an Sicherheit zu erlangen. Mindestens genauso
69 wichtig ist es für den Netzwerkadministrator seine Bedürfnisse zu verstehen
70 und entsprechend zu handeln. IPFire stellt für diesen Zweck eine Basis bereit,
71 die einzelne Netzwerksegmente nach ihren Sicherheitslevels unterteilt und erlaubt diese
72 anschließend nach eigenen Erfordernissen anzupassen
73 (mehr dazu unter <a href="/features/firewall">Firewall</a>).
74 </p>
75 <p>
76 Eine ebenso hohe Priorität genießt die Sicherheit der modularen Komponenten.
77 Aktualisierungen werden digital signiert, verschlüsselt
78 und können automatisch über das <a href="#pakfire">Pakfire
79 Paketmanagement-System</a> installiert werden.
80 Typischerweise ist IPFire direkt mit dem Internet verbunden und macht es
81 somit zu einem Ziel für Hacker und andere Gefahren.
82 Das Paketmanagement-System unterstützt den Administrator darin,
83 sicher zu sein, dass alle wichtigen Lücken gestopft und Fehler
84 in allen eingesetzten Komponenten beseitigt sind.
85 </p>
86 <p>
87 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
88 <a href="http://planet.ipfire.org/post/feature-highlights-ipfire-2-15-1-hardening-the-system">Ab IPFire 2.15</a>
89 wird der IPFire/Linux-Kernel mit dem <a href="http://grsecurity.net">grsecurity</a>-Patchset gepatcht.
90 Dies schützt den Kernel proaktiv gegen eine Vielzahl an Attacken -
91 vornehmlich gegen zero-day-Exploits in dem ganze Klassen an
92 potentiellen Fehlern und Exploit-Vektoren eliminiert werden.
93 Pufferüberläufe auf dem Stack (stack buffer overflows)
94 sind nahezu unmöglich auszunutzen und strenge Zugriffsrichtlinien
95 verhindern, dass ein Angreifer nach einer Attacke Schaden
96 anrichten kann.
97 </p>
98 {% else %}
99 <p>
100 The primary objective of IPFire is security.
101 As there is of course no one, single way to achieve network security, it is important
102 for a network administrator to understand their environment and what the term
103 <em>security</em> means in the context of their own network.
104 IPFire forms the base of a secure network.
105 It has the power to segment networks based on their respective security levels
106 and makes it easy to create custom policies that manage each segment
107 (see the Firewall page for more information).
108 </p>
109 <p>
110 Security of the modular components is a top priority.
111 Updates are digitally signed and encrypted, as well as can be automatically installed
112 by Pakfire (<a href="#updates">the IPFire package management system</a>).
113 Since IPFire is typically directly connected to the Internet, it is going to be a
114 primary target for hackers and other threats.
115 The simple Pakfire package manager helps administrators feel confident that
116 they are running the latest security updates and bug fixes for all of the
117 components they utilize.
118 </p>
119 <p>
120 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
121 <a href="http://planet.ipfire.org/post/feature-highlights-ipfire-2-15-1-hardening-the-system">Since IPFire 2.15</a>,
122 the IPFire Linux kernel is patched with the
123 <a href="http://grsecurity.net">grsecurity</a> patchset, which
124 pro-actively hardens the kernel against various forms of attacks.
125 Most importantly, it protects from zero-day exploits by
126 eliminating entire bug classes and exploit vectors.
127 It makes stack buffer overflows almost impossible to exploit
128 and comes with strict access controls, that make it
129 harder for attackers to cause harm to the system.
130 </p>
131 {% end %}
132 </div>
133 </section>
134
135 <section id="firewall" class="text-center">
136 <div class="container">
137 <div class="page-header">
138 <h1>{{ _("Firewall") }}</h1>
139 </div>
140
141 {% if lang == "de" %}
142 <p>
143 IPFire nutzt eine Stateful-Packet-Inspection-Firewall (SPI),
144 welche auf das Linux Paketfilter-Framework <em>netfilter</em> aufsetzt.
145 </p>
146 <p>
147 Während des IPFire Installationsprozesses, wird das Netzwerk in
148 mehrere separate Segmente unterteilt.
149 Dieses Sicherheitsschema impliziert einen perfekten Platz für
150 jedes System im Netzwerk.
151 Jedes Segment kann nach Bedarf zugeschaltet werden, abhängig vom
152 Einsatzort und -zweck und alle Systeme in einem Segment werden
153 mit der gleichen Sicherheitspolicy behandelt:
154 </p>
155
156 <table class="table table-striped table-bordered">
157 <tbody>
158 <tr>
159 <td style="background-color: green; color: white;">
160 <strong>Green</strong>
161 </td>
162 <td>
163 Grün repräsentiert die "sichere" Zone.
164 In diese Zone gelangen alle herkömmlichen
165 Clients, welche meist mit dem Kabelnetzwerk
166 verbunden sind. Von hier aus können die Clients
167 uneingeschränkt auf alle anderen Zonen zugreifen.
168 </td>
169 </tr>
170 <tr>
171 <td style="background-color: red; color: white;">
172 <strong>Red</strong>
173 </td>
174 <td>
175 Rot impliziert "Gefahr" - also die Verbindung zum
176 Internet.
177 Nichts von hier aus darf die Firewall passieren,
178 außer dies ist explizit vom Administrator erlaubt.
179 </td>
180 </tr>
181 <tr>
182 <td style="background-color: darkblue; color: white;">
183 <strong>Blue</strong>
184 </td>
185 <td>
186 Blau repräsentiert das drahtlose Segment des
187 Netzwerks (aufgrund der Farbe des Himmels).
188 Da Wireless-Clients von Natur aus ein größeres
189 Gefahrenpotential sind, muss für jedes System
190 in diesem Teil der Zugang zum Internet gesondert
191 erlaubt werden.
192 </td>
193 </tr>
194 <tr>
195 <td style="background-color: orange; color: white;">
196 <strong>Orange</strong>
197 </td>
198 <td>
199 Das orangene Netzwerk wird auch als demilitarisierte
200 Zone (DMZ) bezeichnet.
201 Alle Server, die aus dem Internet erreichbar sind
202 gehören in dieses Netz um kein Sicherheitsrisiko
203 für andere lokale Systeme zu sein.
204 </td>
205 </tr>
206 </tbody>
207 </table>
208
209 <p>
210 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
211 Mit IPFire 2.15 wurde die grafische Benutzeroberfläche der Firewall komplett
212 überarbeitet und mit vielen Funktionen erweitert.
213 Unter anderem gibt es nun eine Gruppenverwaltung für Hosts und Dienste.
214 Diese erleichtert das Erstellen von ähnlichen Regeln für eine Vielzahl
215 an Systemen im Netzwerk.
216 </p>
217
218 <p class="lead ac">
219 Eine Firewall zu verwalten war noch nie so einfach.
220 </p>
221
222 <p>
223 Da die Konfirguation auch mit vielen Regeln nun immer noch übersichtlich
224 bleibt, ist die Verwaltung der Firewall besonders einfach und
225 auch komplexe Konfigurationen sind möglich ohne die Kontrolle zu verlieren.
226 </p>
227
228 <p>
229 Zusätzlich zu den oben genannten Policies kann auch der ausgehende
230 Netzwerkverkehr für jedes Segment geregelt werden.
231 Diese Funktion gibt dem Netzwerkadministrator vollständige
232 Kontrolle über das Netzwerk.
233 </p>
234
235 <ul>
236 <li>
237 <a href="http://wiki.ipfire.org/en/configuration/firewall/start">
238 Firewall-Dokumentation
239 </a>
240 </li>
241 </ul>
242 {% else %}
243 <p>
244 IPFire employs a Stateful Packet Inspection (SPI) firewall,
245 which is built on top of netfilter (the Linux packet filtering framework).
246 </p>
247 <p>
248 During the installation of IPFire, the network is configured into different,
249 separate segments.
250 This segmented security scheme means that there is a perfect place for each
251 machine in the network.
252 These different segments may be enabled separately, depending on your requirements.
253 Each segment represents a group of computers who share a common security level:
254 </p>
255
256 <table class="table table-striped table-bordered">
257 <tbody>
258 <tr>
259 <td style="background-color: green; color: white;">
260 <strong>Green</strong>
261 </td>
262 <td>
263 Green represents a "safe" area.
264 This is where all regular clients will reside.
265 It is usually comprised of a wired, local network.
266 Clients on Green can access all other network
267 segments without restriction.
268 </td>
269 </tr>
270 <tr>
271 <td style="background-color: red; color: white;">
272 <strong>Red</strong>
273 </td>
274 <td>
275 Red indicates "danger" or the connection to the Internet.
276 Nothing from Red is permitted to pass through the
277 firewall unless specifically configured by the
278 administrator.
279 </td>
280 </tr>
281 <tr>
282 <td style="background-color: darkblue; color: white;">
283 <strong>Blue</strong>
284 </td>
285 <td>
286 Blue represents the "wireless" part of the local
287 network (chosen because it's the color of the sky).
288 Since the wireless network has the potential for abuse,
289 it is uniquely identified and specific rules govern
290 clients on it.
291 Clients on this network segment must be explicitly
292 allowed before they may access the network.
293 </td>
294 </tr>
295 <tr>
296 <td style="background-color: orange; color: white;">
297 <strong>Orange</strong>
298 </td>
299 <td>
300 Orange is referred to as the "demilitarized zone" (DMZ).
301 Any servers which are publicly accessible are separated
302 from the rest of the network here to limit security
303 breaches.
304 </td>
305 </tr>
306 </tbody>
307 </table>
308
309 <p>
310 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
311 With IPFire 2.15, the graphical user interface has been completely rewritten
312 and massively extended with new functionality.
313 It is now possible to manage groups of hosts or services. That makes it simpler
314 to create many similar rules for a great number of hosts, networks or services.
315 </p>
316
317 <p class="lead ac">
318 Managing firewall rules has never been easier before.
319 </p>
320
321 <p>
322 Because even with a big number of rules, the configuration remains
323 easily manageable and that makes it possible to build more restrictive
324 configurations without losing control.
325 </p>
326
327 <p>
328 Additionally, the firewall can be used to control outbound Internet
329 access from any segment.
330 This feature gives the network administrator complete control
331 over how their network is configured and secured.
332 </p>
333
334 <ul>
335 <li>
336 <a href="http://wiki.ipfire.org/en/configuration/firewall/start">
337 Firewall Documentation
338 </a>
339 </li>
340 </ul>
341 {% end %}
342
343 <hr class="separator">
344
345 <div class="row">
346 <div class="col-md-12">
347 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/rules.png") }}">
348 <img class="img-responsive" src="{{ static_url("images/screenshots/en/firewall/rules.png") }}" alt="{{ _("Screenshot") }}">
349 </a>
350 </div>
351 </div>
352
353 <div class="row">
354 <div class="col-md-6">
355 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/new-rule.png") }}">
356 <img class="img-responsive" src="{{ static_url("images/screenshots/en/firewall/new-rule.png") }}" alt="{{ _("Screenshot") }}">
357 </a>
358 </div>
359
360 <div class="col-md-6">
361 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/service-groups.png") }}">
362 <img class="img-responsive" src="{{ static_url("images/screenshots/en/firewall/service-groups.png") }}" alt="{{ _("Screenshot") }}">
363 </a>
364 </div>
365 </div>
366
367 <div class="row">
368 <div class="col-md-6">
369 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/host-groups.png") }}">
370 <img class="img-responsive" src="{{ static_url("images/screenshots/en/firewall/host-groups.png") }}" alt="{{ _("Screenshot") }}">
371 </a>
372 </div>
373
374 <div class="col-md-6">
375 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/connections-1.png") }}">
376 <img class="img-responsive" src="{{ static_url("images/screenshots/en/firewall/connections-1.png") }}" alt="{{ _("Screenshot") }}">
377 </a>
378 </div>
379 </div>
380 </div>
381 </section>
382
383 <section id="pakfire" class="lighter-background text-center">
384 <div class="container">
385 <div class="page-header">
386 <h1>
387 Pakfire <small>{{ _("The IPFire package management system") }}</small>
388 </h1>
389 </div>
390
391 {% if lang == "de" %}
392 <p>
393 Vom technischen Standpunkt aus ist IPFire ein schlankes, gehärtetes
394 Firewall-System, welches den Paketmanager Pakfire mitbringt.
395 Die primäre Aufgabe von Pakfire ist es, Systemupdates mit nur einem Klick
396 einspielen zu können.
397 Somit ist es ganz leicht <a href="/features/updates">Sicherheitslücken
398 zu schließen und Bugfixes sowie neue Funktionen zu installieren</a>.
399 Dies macht IPFIre sicherer und schneller - oder einfach: besser.
400 </p>
401 <p>
402 Eine weitere Aufgabe ist es, zusätzliche Addons zu installieren, welche die
403 Funktionen des Systems erweitern.
404
405 Einige beliebte sind unter anderen:
406
407 <ul>
408 <li>Datei- und Druckdienste wie <em>samba</em> und <em>vsftpd</em></li>
409 <li>Kommunikationslösungen wie <em>Asterisk</em></li>
410 <li>
411 Verschiedene Kommandozeilenhelfer wie
412 <em>tcpdump</em>, <em>nmap</em>, <em>traceroute</em>
413 und viele mehr.
414 </li>
415 </ul>
416 </p>
417
418 {% else %}
419 <p>
420 From a technical point of view, IPFire is a minimalistic, hardened firewall system
421 which comes with an integrated package manager called Pakfire.
422 The primary task of Pakfire is to update the system with only a single click.
423 It is very easy to install <a href="/features/updates">security patches,
424 bugfixes and feature enhancements</a>, which make IPFire safer and faster
425 - or simply: better.
426 </p>
427 <p>
428 Another task of Pakfire is to install additional software that adds new
429 functionality to the IPFire system.
430
431 Some useful of them are:
432
433 <ul>
434 <li>File sharing services such as Samba and vsftpd</li>
435 <li>Communications server using Asterisk</li>
436 <li>
437 Various command-line tools as <em>tcpdump</em>,
438 <em>nmap</em>, <em>traceroute</em> and many more.
439 </li>
440 </ul>
441 </p>
442 {% end %}
443
444 <hr class="separator">
445
446 <div class="row">
447 <div class="col-md-6">
448 <a class="thumbnail" href="{{ static_url("images/screenshots/en/pakfire/pakfire-overview-1.png") }}">
449 <img class="img-responsive" src="{{ static_url("images/screenshots/en/pakfire/pakfire-overview-1.png") }}" alt="{{ _("Screenshot") }}">
450 </a>
451 </div>
452
453 <div class="col-md-6">
454 <a class="thumbnail" href="{{ static_url("images/screenshots/en/pakfire/addon-services-1.png") }}">
455 <img class="img-responsive" src="{{ static_url("images/screenshots/en/pakfire/addon-services-1.png") }}" alt="{{ _("Screenshot") }}">
456 </a>
457 </div>
458 </div>
459
460 {% if lang == "de" %}
461 <h2>Pakfire als Buildsystem</h2>
462 <p>
463 Das kommende Major-Release von IPFire wird eine neue
464 Generation des Pakfire Paketmanagementsystems mitbringen.
465 Diese ist schneller, sicherer und einfacher zu bedienen.
466 Dazu kommen unzählige neue Funktionen.
467 </p>
468 <p>
469 Eine der neuen Funktionen ist, dass <em>pakfire</em>
470 nun auch als Buildsystem fungiert.
471 Ein auf die IPFire-Distribution angepasstes Buildsystem
472 hat die Produktivität der Entwickler immens gesteigert.
473 Neue Pakete zu bauen ist nun einfacher und nimmt weniger
474 Zeit in Anspruch.
475 </p>
476 <p>
477 Qualitätssicherung ist jetzt eine Aufgabe für alle.
478 Mehr dazu auf <a href="http://pakfire.ipfire.org/">pakfire.ipfire.org</a>.
479 </p>
480
481 <hr class="separator">
482 {% else %}
483 <h2>Pakfire as a build system</h2>
484 <p>
485 The next major release of IPFire will also ship a new generation
486 of the Pakfire packagement system.
487 This new generation has been made faster, more secure, more
488 easy to handle and adds a whole bunch of new features.
489 </p>
490 <p>
491 One of this features is that <em>pakfire</em> is now the
492 buildsystem as well. Having a customized build system for
493 the needs of IPFire and the IPFire developers improved
494 the development process very much. Building new packages
495 became a lot more easy and less time-consuming.
496 </p>
497 <p>
498 Quality assurance became more social right now. Check it
499 out at <a href="http://pakfire.ipfire.org/">pakfire.ipfire.org</a>.
500 </p>
501 {% end %}
502 </div>
503 </section>
504
505 <section id="updates" class="text-center">
506 <div class="container">
507 <div class="page-header">
508 <h1>{{ _("Updates") }}</h1>
509 </div>
510
511 {% if lang == "de" %}
512 <p>
513 IPFire basiert auf Linux, dem besten Open-Source-Kernel, den es gibt.
514 Ebenso basiert IPFire <strong>nicht</strong> auf irgendeiner Distribution
515 wie z.B. Knoppix auf Debian basiert sondern wird aus den Sourcen einer
516 großen Anzahl von Paketen gebaut. Dieser Prozess der Entwicklung kostet
517 viel Zeit, gibt allerdings die Möglichkeit nicht von Updatezyklen anderer
518 abzuhängen. Dagegen hat es den Vorteil besonders zuverlässige Versionen
519 eines Softwarepakets auszuwählen und den größten Teil der Distribution
520 daraus aufzubauen. Der Kernel hingegen wird laufend aktualisiert und
521 gepatcht um aktuelle und eine möglichst breite Palette an Hardware zu
522 unterstützen - und viel wichtiger, Sicherheitsupdates zeitnah zur
523 Verfügung zu stellen.
524 </p>
525 <p>
526 Das macht IPFire zu einem sehr leistungsfähigen und gleichzeitig
527 gehärtetem System.
528 </p>
529 <p>
530 Um dies beizubehalten und kompatibel zu der Vielzahl an Hardware auf
531 dem Markt zu bleiben, werden sogenannte "Core Updates" in einem Abstand
532 von etwa vier Wochen herausgegegen, um gesammelte Patches auszuliefern.
533 Im Falle eines kritischen Sicherheitsproblems in einem der Pakete gibt
534 es Sicherheitsupdates innerhalb weniger als 24 Stunden.
535 </p>
536 <p>
537 Alle Updates können mittels des Paketmanagementsystems eingespielt werden
538 und die Benutzer werden per Email über eben diese informiert. So ist
539 in allen Fällen das Update nach einem einzigen Klick installiert und
540 das System ist wieder gesichert im Internet.
541 </p>
542 {% else %}
543 <p>
544 IPFire is based on Linux, which is the best Open Source kernel around.
545 Additionally, IPFire is <strong>not</strong> based on any other
546 distribution like Knoppix is on Debian. It is compiled from the sources
547 of every single package. This comsumes a lot of work, but finally
548 gives the opportunity to not rely on the update cycles of others.
549 The advantages we gain is that we are able to select very stable
550 versions of software and build the distribution from them. For example
551 is the most part of the distribution quite well tested and long maintained
552 - in contrast to the kernel which is very recent and regularly updated
553 with patches to support as much hardware as possible and more importantly
554 fix security errors.
555 </p>
556 <p>
557 This is what makes IPFire a very strong and hardened system.
558 </p>
559 <p>
560 To keep up that strength and be prepared for new
561 <a href="/features/hardware">hardware</a>, we give
562 out the so called <strong>Core Updates</strong> which are issued in
563 about every four weeks and updating collected fixes. If there is a
564 security emergency, we provide updates in less than a day to overcome
565 zero-day holes in the system.
566 </p>
567 <p>
568 All of the updates can be installed by the
569 <a href="/features/pakfire">package management system</a>
570 and users are notified by mail. So in all cases, the update is just
571 a simple click and your system is running safe again.
572 </p>
573 {% end %}
574 </div>
575 </section>
576
577 <section id="dialup" class="lighter-background text-center">
578 <div class="container">
579 <div class="page-header">
580 <h1>{{ _("Dialup") }}</h1>
581 </div>
582
583 {% if lang == "de" %}
584 <p>
585 IPFire ist als Internet-Gateway in der Lage über verschiedene
586 (Einwahl-)Techniken eine Verbindung zum Internet aufzubauen.
587 </p>
588 <p>
589 Es werden alle gängigen Breitbandzugangsarten wie auch mobile Zugänge unterstützt:
590 </p>
591
592 <table class="table table-striped table-bordered">
593 <tbody>
594 <tr>
595 <td>
596 <strong>VDSL</strong>
597 </td>
598 <td>
599 VDSL ist die Abkürzung für <em>Very High Data Rate Digital Subscriber Line</em> und
600 bietet in Deutschland derzeit Bandbreiten bis zu 50 MBit/s im Downstream und 10 MBit/s im Upstream.
601 Damit eignet sich VDSL für die Zukunft und bringt auch IPTV mit sich. Mit IPFire kann der herkömmliche
602 Router ausgetauscht werden und auf ein vollwertiges System gesetzt werden, das den IPTV-Stream ins
603 eigene Netz bringt.
604 </td>
605 </tr>
606 <tr>
607 <td>
608 <strong>ADSL/SDSL</strong>
609 </td>
610 <td>
611 Selbstverständlich wird auch herkömmliches DSL unterstützt, wobei es sich
612 technisch um PPPoE oder PPPoA handelt. In einigen Ländern ist auch PPTP als Protokoll verbreitet und
613 wird ebenso unterstützt.
614 </td>
615 </tr>
616 <tr>
617 <td>
618 <strong>Ethernet</strong>
619 </td>
620 <td>
621 Über Ethernet kann IPFire ebenfalls mit dem Internet verbunden werden und
622 eine IP-Adresse entweder per DHCP beziehen oder statisch konfiguriert werden. Das wird u.a. bei
623 Verbindungen über Kabel genutzt.
624 </td>
625 </tr>
626 <tr>
627 <td>
628 <strong>3. Generation</strong>
629 </td>
630 <td>
631 Über USB-Modems wird auch jede Art von mobilen Breitbandverbindungen
632 unterstützt, welche bekannt sind unter den Bezeichnungen UMTS, 3G, CDMA, HSDPA oder LTE.
633 </td>
634 </tr>
635 </tbody>
636 </table>
637 {% else %}
638 <p>
639 IPFire as an Internet Gateway is able to dialup through various techniques
640 to connect to the Internet.
641 </p>
642 <p>
643 It supports all popular types of broadband access, as well as mobile access:
644 </p>
645
646 <table class="table table-striped table-bordered">
647 <tbody>
648 <tr>
649 <td>
650 <strong>VDSL</strong>
651 </td>
652 <td>
653 VDSL is short for <em>Very High Data Rate Digital Subscriber Line</em> and
654 it currently offers bandwidth up to 50 Mbit/s downstream and 10 Mbit/s upstream.
655 VDSL brings the possibility of using new technologies such as IPTV. With IPFire, a conventional
656 router can be replaced by a full-fledged system that brings the IPTV stream into your own home network.
657 </td>
658 </tr>
659 <tr>
660 <td>
661 <strong>ADSL/SDSL</strong>
662 </td>
663 <td>
664 Conventional DSL is also supported, although it is technically
665 called also PPPoE or PPPoA. In some countries, the PPTP protocol is also widely used and it is also fully
666 supported by IPFire.
667 </td>
668 </tr>
669 <tr>
670 <td>
671 <strong>Ethernet</strong>
672 </td>
673 <td>
674 Over Ethernet, IPFire can also be connected to the Internet and obtain
675 an IP address either via DHCP or static configuration.
676 </td>
677 </tr>
678 <tr>
679 <td>
680 <strong>4G/3G</strong>
681 </td>
682 <td>
683 Mobile broadband connections over USB modems, which are also known by the names
684 UMTS, 3G, CDMA, HSDPA or LTE are also supported by IPFire.
685 </td>
686 </tr>
687 </tbody>
688 </table>
689 {% end %}
690 </div>
691 </section>
692
693 <section id="proxy" class="text-center">
694 <div class="container">
695 <div class="page-header">
696 <h1>{{ _("Web proxy") }}</h1>
697 </div>
698
699 {% if lang == "de" %}
700 <p>
701 Der Webproxy in IPFire, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt
702 und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse
703 Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht
704 ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten
705 Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll
706 übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-, HTTPS- sowie
707 FTP-Inhalte über Squid angefordert werden.
708 </p>
709 <ul>
710 <li>
711 <strong>Sicherheit:</strong> Der Client fragt nicht selbst, er lässt seinen Proxy fragen.
712 Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt
713 somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie
714 den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung,
715 was einen Vorteil gegenüber einem reinen NAT Router darstellt.
716 </li>
717 <li>
718 <strong>Authentifizierung:</strong> Über Access-Listen kann Squid auch veranlasst werden,
719 Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd,
720 Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy
721 zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern
722 der Zugang zum Internet gewährt werden kann.
723 </li>
724 <li>
725 <strong>Kontrolle der Zugriffe:</strong> Soll der Internetzugriff nur zu speziellen Tageszeiten
726 oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die
727 “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller
728 Anwendungsbereich dafür sind z.B. Schulen.
729 </li>
730 <li>
731 <strong>Protokollierung:</strong> Da jeder Zugriff über den Proxy protokolliert werden kann, bieten
732 sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken
733 und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien
734 in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen.
735 </li>
736 <li>
737 <strong>Bandbreitenmanagement:</strong> Das Downloadmanagement lässt eine Kontrolle der Bandbreite
738 für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien,
739 CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen
740 Zonen oder für Hosts in den jeweiligen Zonen.
741 </li>
742 </ul>
743 {% else %}
744 <p>
745 IPFire includes a full-fledged web proxy, which is the well-known, open-source software Squid. It is used by ISPs, universities, schools and large companies use because of its diversity, stability and mature development. Even for small home networks, it
746 is a useful feature. In addition to the stateful paket inspection (SPI) filtering by the firewall on
747 the TCP/IP layer, the web content which is transmitted over HTTP, HTTPS or FTP can be analyzed
748 and filtered as well.
749 </p>
750 <ul>
751 <li>
752 <strong>Security:</strong> The client does not query web servers directly, it queries the proxy first.
753 The server response goes back to the proxy and not to the client, which actually does not technically even appear on the
754 Internet. A related attack would therefore primarily reach the proxy and not the client. There are also
755 functions available for data privacy, which is an significant advantage in comparison to a pure NAT router.
756 </li>
757 <li>
758 <strong>Authentication:</strong> Using the access lists, the web proxy can also be configured to allow
759 access only after a user has been authenticated. At this point you have the choice between LDAP, identd,
760 Windows, Radius or local authentication methods. The web proxy can connect, for example to a
761 Microsoft Windows domain controller and only the users of that Windows domain can be granted access to the Internet.
762 </li>
763 <li>
764 <strong>Authorization:</strong> If the Internet access needs to be limited to specific time of a day,
765 or if it should be even completely disabled for any clients, is this easily configured by the
766 “network-based access control”, which can also be found on the IPFire web interface. A useful application for this feature can be for example, a school classroom.
767 </li>
768 <li>
769 <strong>Logging:</strong> Since each access can be logged over the proxy, possibilities for the
770 examination of the accessed content can be very useful, as well as statistics and bills can be issued afterwards.
771 Through the use of a logfile analyzer named Calamaris, log files can be charted by varying criteria
772 on the IPFire web interface.
773 </li>
774 <li>
775 <strong>Bandwidth management:</strong> The download management function allows for control of the bandwidth
776 to specified zones. Thus, content-based throttling (for example for binary files, CD images or
777 multimedia content) is configurable with bandwidth limitations for individual zones or for each host
778 in a particular zone.
779 </li>
780 </ul>
781 {% end %}
782
783 <hr class="separator">
784
785 <h2>{{ _("Content filter") }}</h2>
786
787 {% if lang == "de" %}
788 <p>
789 SquidGuard ist ein URL-Filter, der über den Redirektor-Mechanismus an den Proxy angebunden wird.
790 Das Herz stellen sogenannte Blacklists dar, die von offizieller Seite erstellt, eine Reihe von
791 klassifizierten Webseiten enthalten und über das Webinterface automatisch auf dem neuesten Stand
792 gehalten werden. Es stehen unterschiedliche, freie Quellen für vorgefertigte Blacklists zur Verfügung,
793 die erlauben unter anderem jugendgefährdende Inhalte, Shopping-, Warez-, Social-Networking- oder
794 gewaltverherrlichende Seiten zu filtern.
795 </p>
796 <p>
797 Individuelle Erweiterungen einzelner Domains oder URLs können für Blacklists und ebenso für Whitelists
798 über das Webinterface eingerichtet werden. IPFire bietet auch einen Blacklist-Editor, der das Editieren
799 und erstellen eigener Blacklists über das Webinterface anbietet.
800 </p>
801 <p>
802 Mögliche Anwendungsbereiche für SquidGuard auf dem IPFire sind:
803 </p>
804 <ul>
805 <li>
806 Sperren oder Einschränken spezieller Internet Inhalte in Abhängigkeit von Uhrzeit, Benutzer
807 und verwendetem Rechner.
808 </li>
809 <li>
810 Verhinderung des Zugriffs auf bestimmte (z.B. jugendgefährdende) Seiten.
811 </li>
812 <li>
813 Ausblenden von Werbung.
814 </li>
815 </ul>
816 {% else %}
817 <p>
818 SquidGuard is a URL filter add-on which is connected via the redirector mechanism of the proxy.
819 The heart of SquidGuard is something called a "blacklist." This is a content control list created by the official site. These lists contain a number of categorically-classified websites and can be kept up-to-date automatically. There are different, independent
820 sources for pre-built blacklists available, which allow among other classes filtering for adult
821 content, shopping, warez, social networking, or sites containing violent/abusive content.
822 </p>
823 <p>
824 Individual extensions for particular domains or URLs can be set up on the IPFire web interface for
825 blacklists and whitelists as well. IPFire also offers a black list editor, that makes the editing
826 and creating your own blacklists quite easy.
827 </p>
828 <p>
829 Possible areas of application for the SquidGuard on IPFire are:
830 </p>
831 <ul>
832 <li>
833 Block or restrict Internet content conditionally by time, user and/or computers.
834 </li>
835 <li>
836 Preventing access to certain (eg. youth-endangering) pages and content categories.
837 </li>
838 <li>
839 Hiding advertising.
840 </li>
841 </ul>
842 {% end %}
843
844 <hr class="separator">
845
846 <h2>{{ _("Update accelerator") }}</h2>
847
848 {% if lang == "de" %}
849 <p>
850 Der Update-Accelerator ist ein System, das Updates für z.B. Betriebssysteme erheblich beschleunigen
851 kann. Dazu werden alle heruntergeladenen Updates zwischengespeichert und bei einem weiteren Download
852 aus dem lokalen Cache ausgeliefert.
853 </p>
854 <p>
855 Bei Service Packs für Microsoft Windows, die oft einige hundert Megabytes haben, lohnt sich dieses
856 Speichern massiv, aber auch Virenscanner und andere Produkte profitieren hiervon und machen ein Update von
857 allen Workstations in der Firma zu einer schnell erledigten Aufgabe.
858 </p>
859 {% else %}
860 <p>
861 The Update Accelerator is a feature that can greatly accelerate deploying updates for operating systems.
862 All downloaded updates are cached and if requested another time, are delivered from the cache.
863 </p>
864 <p>
865 For example, Service Packs for Microsoft Windows (which often are several hundred megabytes) are cached for future retrieval, as well as virus scanner definition updates and other product updates which the system automatically identifies. This saves a massive amount of time when updating large amounts of computers (such as corporate networks).
866 </p>
867 {% end %}
868
869 <hr class="separator">
870
871 <h2>{{ _("Transparent virus scanner") }}</h2>
872
873 {% if lang == "de" %}
874 <p>
875 Das Paketmanagement bietet das Addon “SquidClamAV” zur Erweiterung an. Somit steht dem Webproxy
876 ein Virenscanner zur Verfügung, der in Echtzeit den Datenverkehr nach Viren mit Hilfe des bekannten
877 ClamAV prüft.
878 </p>
879 <p>
880 Der zusätzliche Schutz zu einem herkömmlichen Virenscanner besteht vor allem darin, dass die Dateien
881 nicht erst auf den Client-Rechner gelangen, bevor der Virenscan ausgeführt werden kann. Potentielle
882 Schädlinge werden vor dem Download durch SquidClamAV geblockt.
883 </p>
884 {% else %}
885 <p>
886 The package manager Pakfire offers the addon SquidClamAV - a virus scanner for the web proxy. This checks in real-time all web traffic for viruses, utilizing the ClamAV virus definitions and scanning engine.
887 </p>
888 <p>
889 The additional protection to a conventional virus scanner lies in the fact that the files are transparently checked before ever making it to the client machine before the client machine's virus scan can be performed. So potentially-malicious files are blocked by
890 SquidClamAV before the client's actual download.
891 </p>
892 {% end %}
893 </div>
894 </section>
895
896 <section id="crypto" class="lighter-background text-center">
897 <div class="container">
898 <div class="page-header">
899 <h1>{{ _("Cryptography") }}</h1>
900 </div>
901
902 {% if lang == "de" %}
903 <p class="lead">
904 Kryptographie ist die Basis für viele Dienste wie
905 <a href="#vpn">VPNs</a> und sicherer Kommunikation im Internet.
906 Daher legt IPFire einen besonderen Wert auf dieses Thema.
907 </p>
908 {% else %}
909 <p class="lead">
910 Cryptography is one of the foundations for various services
911 like <a href="#vpn">VPNs</a> and secure communication on the Internet.
912 Therefore, IPFire is putting an emphasis on this topic.
913 </p>
914 {% end %}
915
916 <h3>{{ _("Hardware Acceleration") }}</h3>
917
918 {% if lang == "de" %}
919 <p>
920 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
921 IPFire ist in der Lage verschiedene Kryptoprozessoren zu nutzen,
922 wie zum Beispiel den der AMD Geode CPUs, den VIA Padlock oder
923 CPU-Erweiterungen wie die AES-NI-Instruktionen von
924 neueren CPUs von Intel und AMD.
925 Diese helfen einen höheren Datendurchsatz durch verschlüsselte
926 Tunnel zu erreichen.
927 </p>
928
929 <ul>
930 <li>
931 <a href="http://wiki.ipfire.org/en/cryptography/hardware">
932 Liste der unterstützten Kryptoprozessoren
933 </a>
934 </li>
935 </ul>
936 {% else %}
937 <p>
938 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
939 IPFire can use various crypto processors like those to be found
940 in AMD Geode CPUs, the VIA Padlock or CPU extensions like AES-NI
941 of recent Intel and AMD CPUs.
942 These help us to achieve much better throughput where ever
943 data is sent through an encrypted tunnel.
944 </p>
945
946 <ul>
947 <li>
948 <a href="http://wiki.ipfire.org/en/cryptography/hardware">
949 List of supported crypto hardware
950 </a>
951 </li>
952 </ul>
953 {% end %}
954
955 <h3>{{ _("Random Number Generators") }}</h3>
956
957 {% if lang == "de" %}
958 <p>
959 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
960 IPFire unterstützt ebenfalls verschiedene Hardware-Zufallszahlgeneratoren.
961 Diese generieren Entropie, wird in den Entropie-Pool des Kernels
962 eingespeißt und dann zum Erstellen von sicheren Schlüsseln und
963 zur Beschleunigung von weiteren kryptographischen Operationen verwendet.
964 </p>
965
966 <ul>
967 <li>
968 <a href="http://wiki.ipfire.org/en/cryptography/entropy">
969 Liste der unterstützen Zufallszahlgeneratoren
970 </a>
971 </li>
972 </ul>
973 {% else %}
974 <p>
975 <span class="label label-success">IPFire 2.15 - Core Update 77</span>
976 IPFire is also able to use various random hardware number generators
977 to seed the kernel's entropy pool. That entropy is needed to generate
978 secure keys and speeds up cryptographic operations as well.
979 </p>
980
981 <ul>
982 <li>
983 <a href="http://wiki.ipfire.org/en/cryptography/entropy">
984 List of supported hardware random number generators
985 </a>
986 </li>
987 </ul>
988 {% end %}
989 </div>
990 </section>
991
992 <section id="vpn" class="text-center">
993 <div class="container">
994 <div class="page-header">
995 <h1>
996 {{ _("VPN") }} <small>{{ _("Virtual Private Networks") }}</small>
997 </h1>
998 </div>
999
1000 {% if lang == "de" %}
1001 <p>
1002 IPFire kann zu einem VPN-Gateway (virtal private network - virtuelles, privates Netzwerk)
1003 ausgebaut werden, welches Personen mit unterschiedlichem Standort untereinander verbindet.
1004 Dies können zum Beispiel Mitarbeiter, Freunde oder Personen sein mit denen man Daten sicher
1005 austauschen möchte, aber auch eine Filiale, Außenstelle, wichtige Kunden oder andere Unternehmen
1006 mit denen kommuniziert wird.
1007 </p>
1008 <p>
1009 Um sich über verschiedene Technologien verbinden zu können unterstützt IPFire die VPN Protokolle
1010 IPsec und OpenVPN. Dies erlaubt dem Administrator große Freiheiten bei der Konfiguration des VPNs.
1011 Die Verwendung dieser Protokolle erlaubt es IPFire auch sich mit VPN Endpunkten verschiedenster
1012 Hardwarehersteller, wie Cisco, Juniper, Checkpoint, etc. zu verbinden.
1013 </p>
1014 {% else %}
1015 <p>
1016 IPFire also includes functionality to create virtual private networks (VPN).
1017 A VPN is a gateway which connects remote networks to the local one using an
1018 encrypted link.
1019 Uses for a VPN include business connections to branch offices or datacenters,
1020 as well as providing traveling staff with a secure portal to the corporate network.
1021 </p>
1022 <p>
1023 For maximum flexibility, IPFire uses both IPsec and OpenVPN protocols,
1024 giving administrators maximum flexibility when configuring their VPN.
1025 Use of these protocols allows IPFire to connect to a variety of VPN endpoint
1026 devices by manufacturers such as Cisco, Juniper, Checkpoint, etc.
1027 </p>
1028 {% end %}
1029
1030 <hr class="separator">
1031
1032 <h2>{{ _("IPsec") }}</h2>
1033
1034 {% if lang == "de" %}
1035 <p>
1036 IPsec ist ein Standard, der unter den VPN-Technologien weit bekannt
1037 ist und im IPv6-Protokoll entwickelt wurde. Da IPv6 allerdings erst
1038 langsam seinen Weg in die Welt findet, wurde das IPsec-Protokoll
1039 auf IPv4 zurückzuportiert.
1040 </p>
1041
1042 <p>
1043 Im Gegensatz zu den ebenfalls eingesetzten SSL-VPNs gilt IPsec als
1044 schwer einzurichten. Diese Hürde wurde in IPFire beseitigt - zur
1045 Verfügung steht ein einfach zu bedienendes User-Interface,
1046 in welches man einige Konfigurationsparameter eingibt, welches dann
1047 den Rest übernimmt. Ebenso wird automatsich dafür gesorgt, dass die
1048 Tunnel geöffnet sind und, dass diese von allein wieder aufgebaut werden,
1049 sollte einmal ein Tunnelpartner seine Internetverbindung verlieren.
1050 So wird eine sichere und stabile Verbindung zu Filialen, Partnern oder
1051 dem Zuhause innerhalb von Minuten eingerichtet und sie ist auch
1052 kompatibel zu denen anderer Anbieter.
1053 </p>
1054
1055 <p>
1056 Der hohe Grad der Kompatibilität zu anderen Herstellern wird durch
1057 die Verwendung der freien Implementierung
1058 <a href="http://www.strongswan.org" target="_blank">strongSwan</a>
1059 möglich, welches von Andreas Steffen, einem Professor für Sicherheit
1060 in der Kommunikationstechnik und Leiter des Instituts für
1061 Internetechnologien und -applikationen an der Universität der
1062 angewandten Wissenschaften Rapperswil in der Schweiz entwickelt wird.
1063 StrongSwan arbeitet besonders gut mit Produkten wie Microsoft Windows 7,
1064 Microsoft Windows Vista und Mac OS X zusammen.
1065 </p>
1066 {% else %}
1067 <p>
1068 IPsec is a widely-deployed VPN solution that was originally developed to be used in conjunction with IPv6. Because it was so secure and IPv6 was so slowly deployed, it was backported to secure IPv4 traffic as well.
1069 </p>
1070
1071 <p>
1072 In contrast to SSL-VPNs, IPsec is hard to set-up. In IPFire, we
1073 thought about how to make this technology easy-to-use and as a result, there
1074 is a web user interface that handles all settings and takes care of the rest
1075 of the configuration for you. It also keeps the tunnels alive and
1076 re-establishes them automatically after a remote site has lost the connection. A secure connection to a branch office, a
1077 business partner, or a home office is done within a couple of minutes
1078 and compatible with all other implementations.
1079 </p>
1080
1081 <p>
1082 This high-level of compatibility is achieved by using the free
1083 implementation called
1084 <a href="http://www.strongswan.org" target="_blank">strongSwan</a>. It is maintained by Andreas Steffen, who is a professor for security in communications and head of the Institute for Internet Technologies
1085 and Applications at the University of Applied Sciences Rapperswil, in
1086 Switzerland. StrongSwan also works with all current, major operating systems, such as Microsoft
1087 Windows 7, Microsoft Windows Vista and Mac OS X.
1088 </p>
1089 {% end %}
1090
1091 <hr class="separator">
1092
1093 <h2>{{ _("OpenVPN") }}</h2>
1094
1095 {% if lang == "de" %}
1096 <p>
1097 Unter den Open Source SSL-VPNs ist OpenVPN ein häufig angetroffener und
1098 beliebter Vertreter, dessen einfache Konfiguration über das IPFire-
1099 Webinterface noch einmal erleichtert wird. Die Firewall-Einstellungen
1100 werden von IPFire automatisch geregelt, ebenso werden die benötigten
1101 Zertifikate mit wenigen Mausklicks erzeugt und können als kompaktes
1102 Client-Paket heruntergeladen, verteilt und mit einem weiteren Klick
1103 ausgeführt werden.
1104 </p>
1105 <p>
1106 Durch die hohe Kompatibilität zu anderen Betriebssystemen
1107 (Microsoft Windows, Mac OSX, Linux, Android, uvam.)
1108 eignet sich OpenVPN bestens zur Anbindung sogenannter Roadwarrior-Clients.
1109 Eine leicht zu konfigurierende, durch Zertifikate gesicherte,
1110 verschlüsselte Anbindung aus dem Internet
1111 auf Firmendaten oder das Zuhause liegende Netzwerk kann nicht
1112 nur über Notebooks, sondern unter anderem auch über PDAs, Smartphones
1113 oder Tablets hergestellt werden.
1114 </p>
1115 <p>
1116 Doch neben der Anbindung von Laptops und anderen Handgeräten, kann
1117 mit OpenVPN auch eine transparente Verbindung zu Filialen, Partnern
1118 und für jeden beliebigen anderen Einsatz erstellt werden.
1119 Das ermöglicht sicheren Zugriff auf ein gesamtes Netzwerk ohne
1120 aufwändige Konfiguration.
1121 </p>
1122 {% else %}
1123 <p>
1124 OpenVPN is a frequently-encountered and most popular representative
1125 of the class of Open Source SSL VPNs.
1126 Its relative ease of configuration has again, been made easier
1127 by the IPFire web interface. The firewall settings are controlled
1128 by IPFire automatically, as well as the required certificates will be
1129 generated with a few mouse clicks and can be downloaded and distributed
1130 as a very compact client package.
1131 </p>
1132 <p>
1133 Due to its high compatibility to all sorts of operating systems,
1134 such as Microsoft Windows, Mac OSX, Linux, Android and many more,
1135 it is perfectly useful for roadwarrior connections.
1136 With those, it is easy to connect your laptop, phone, tablet or
1137 other devices to your company network, which makes it easy to
1138 work from anywhere in the world.
1139 </p>
1140 <p>
1141 But besides connecting portable devices, OpenVPN can also be used
1142 to securely connect branches to the headquater.
1143 This makes it easy to access resources on other networks
1144 remotely without any complicated configuration on each client
1145 on your local network.
1146 </p>
1147 {% end %}
1148 </div>
1149 </section>
1150
1151 <section id="ids" class="lighter-background text-center">
1152 <div class="container">
1153 <div class="page-header">
1154 <h1>{{ _("Intrusion detection system") }}</h1>
1155 </div>
1156
1157 {% if lang == "de" %}
1158 <p>
1159 Ein Intrusion Dection System, kurz IDS, dient zur Erkennung von Angriffen gegen Computersysteme
1160 oder Computernetze. Dabei analysiert das IDS den Netzwerktraffic und durchsucht diesen nach Angriffsmustern.
1161 Wird zum Beispiel ein einfacher Portscan auf ein IPFire-System ausgeführt um angebotene Dienste auszuspähen,
1162 dann wird dies sofort erkannt.
1163 </p>
1164 <p>
1165 Ein IPS, Intrusion Prevention System, hat zusätzlich zu der Erkennung die Aufgabe Aktionen auszuführen.
1166 Dabei nimmt es Informationen zum Angriff vom IDS entgegen und handelt entsprechend. Bei dem Beispiel des
1167 Portscans würde es den Angreifer blocken damit keine Daten mehr ausgetauscht werden.
1168 </p>
1169 <p>
1170 Arbeiten wie in IPFire beide Systeme zusammen nennt man dies ein IDPS (Intrusion detection and prevention
1171 system). Ein sehr bekannter Vertreter dafür ist Snort. Das freie Netzwerk Intrusion Dection System (NIDS)
1172 analysiert den Datenverkehr und sofern es etwas Auffälliges findet, logt es dieses. IPFire bietet die
1173 Möglichkeit die erkannten Angriffe im Webinterface detailliert durchzusehen.
1174 </p>
1175 <p>
1176 Automatische Gegenmaßnahmen verrichtet in IPFire Guardian, was optional nachinstalliert werden kann.
1177 </p>
1178 <p>
1179 Somit ist ein IDPS ein sinnvoller Zusatz zum herkömmlichen Paketfilter um intelligente Entscheidungen
1180 über einkommende Daten zu treffen.
1181 </p>
1182 {% else %}
1183 <p>
1184 An Intrusion Dection System (or IDS), is a piece of software designed to detect attacks against computer systems
1185 and networks. Thereby the IDS will analyze the network traffic and search for attack samples. If someone
1186 scans the ports of the IPFire-System to see which services are available, the IDS will immediately notice it.
1187 </p>
1188 <p>
1189 An Intrusion Prevention System (or IPS), in addition to the detection system, will perform actions.
1190 The IPS gets the information from the IDS and reacts accordingly. That means, recalling the example above with
1191 the portscan, the system would automatically block the attacker immediately in order to prevent further inquiries.
1192 </p>
1193 <p>
1194 It is possible to use IDS and IPS on the IPFire system. We call this system "Intrusion Detection
1195 and Prevention System" (or IDPS). A very important deputy of this system is Snort, the free Network Intrusion Dection System
1196 (NIDS). It analyzes the network traffic and if something abnormal happens, it will log the event. IPFire gives you
1197 the possibility to see it very explicitly in the web interface.
1198 </p>
1199 <p>
1200 For automatic prevention, IPFire has an add-on called Guardian which can be installed optionally.
1201 </p>
1202 <p>
1203 An IDPS is a wise addition to the normal packet filter. It makes intelligent decisions about
1204 incoming and outgoing network traffic and how to deal with it.
1205 </p>
1206 {% end %}
1207 </div>
1208 </section>
1209
1210 <section id="qos" class="text-center">
1211 <div class="container">
1212 <div class="page-header">
1213 <h1>{{ _("Quality of Service") }}</h1>
1214 </div>
1215
1216 {% if lang == "de" %}
1217 <p>
1218 Ein Quality of Service, oder kurz QoS, ist in der Lage die Qualität eines Dienstes über eine
1219 Internetleitung sicherzustellen. Das bedeutet, dass auf einer stark belasteten Internetverbindung
1220 einem Dienst, wie zum Beispiel einem VoIP-Telefonats, ein gewisses Maß an Bandbreite zugesichert
1221 werden kann, damit alle Sprachdaten ohne Verzögerung und verlustfrei übertragen werden können.
1222 Das geht allerdings zu Lasten der anderen Datenströme auf der Leitung, welche es aber durchaus
1223 vertragen, dass Daten langsamer übertragen werden, wie z.B. ein Upload auf einen FTP-Server.
1224 </p>
1225 <p>
1226 Ein QoS bietet aber nicht nur bei Echtzeitdiensten Vorteile und macht sie besser benutzbar, sondern
1227 bringt auch kleine Verbesserungen mit, die sich angenehm bemerkbar machen. Dazu gehören unter anderem:
1228 </p>
1229 <ul>
1230 <li>
1231 <strong>Schnellerer Verbindungsaufbau:</strong> Verbindungen werden immer rasch aufgebaut und
1232 dann nach Dienst eingeordnet und wenn möglich abgebremst. Das verbessert das Arbeitsgefühl.
1233 </li>
1234 <li>
1235 <strong>Stabilere Verbindungen:</strong> da jedem Dienst ein Mindestmaß an Bandbreite zugesichert wird.
1236 </li>
1237 </ul>
1238 <p>
1239 Für die Klassifizierung der Pakete, die das System wissen lässt mit welcher Art von Daten es zu tun hat,
1240 kommt ein Layer-7-Filter zum Einsatz. Dabei wird auch der Inhalt und nicht nur Quell-Ports, -IPs und
1241 Ziel-Ports und -IPs eines Pakets untersucht. Mit dem Wissen, ob es sich z.B. um einen langen Download
1242 oder um ein Echtzeitprotokoll handelt, kann es Entscheidungen zur optimalen Auslastung der
1243 Internetverbindung treffen.
1244 </p>
1245 <p>
1246 Zusammengefasst ist das Endergebnis eines QoS, eine Leitung mit geringer Latenzzeit und geringer
1247 Paketverlustrate. Eine Funktion, die man schnell nicht mehr vermissen möchte, wo die Bandbreite knapp ist.
1248 </p>
1249 <p>
1250 Perfekte Kontrolle über die getätigten Einstellungen, findet man in der graphischen Darstellung der
1251 Leitungsauslastung.
1252 </p>
1253 {% else %}
1254 <p>
1255 Quality of Service (QoS) is able to save the quality of a service on one internet connection. This
1256 means that on a highly-utilized internet connection, a service (for example VoIP) gets a stable size of bandwidth,
1257 to transfer the information without delay and without loss. This is at the expense of the other
1258 data flows on the line, which is tolerated, albeit transmitted more slowly (such as a file upload to an FTP server).
1259 </p>
1260 <p>
1261 QoS does not only increase the functionality of real-time services, but also offers a little bit of overall improvement. For example:
1262 </p>
1263 <ul>
1264 <li>
1265 <strong>Connections establish much faster.</strong>
1266 This is works very well on busy links.
1267 </li>
1268 <li>
1269 <strong>Connections are much more stable.</strong>
1270 Every service gets a minimum, guaranteed amount of bandwidth.
1271 </li>
1272 </ul>
1273 <p>
1274 For the classification of the packets, a Level-7-Filter is used. It also analyses the content, as well as the source-ports/IPs, and destination-ports/IPs of the packets. With that analysis, it will decide if it's a long download or a real-time
1275 protocol and then subsequently determines the optimal use of the connection.
1276 </p>
1277 <p>
1278 To put all in a nutshell, QoS reduces the latency and packet loss of an
1279 internet connection. This is certainly a function that you don't want to miss where bandwidth is limited.
1280 </p>
1281 {% end %}
1282 </div>
1283 </section>
1284
1285 <section id="hardware" class="lighter-background text-center">
1286 <div class="container">
1287 <div class="page-header">
1288 <h1>{{ _("Hardware") }}</h1>
1289 </div>
1290
1291 {% if lang == "de" %}
1292 <p>
1293 Da IPFire auf einer aktuellen Version des Linux Kernels basiert, ist es möglich
1294 eine Breite Palette an neuer Hardware, wie 10-Gigabit-Netzwerkkarten und
1295 Wireless-Hardware, ohne zusätzlichen Aufwand zu betreiben.
1296 Den Entwicklern ist es ein Anliegen, IPFire auf einer möglichst breiten Palette von
1297 Hardware lauffähig zu machen. Dadurch lässt sich IPFire auf alter, günster Hardware
1298 genauso hervoragend verwenden, wie auf High-Performance-Systemen.
1299 </p>
1300 <p>
1301 Dabei belaufen sich die Mindestanforderungen bei einem Pentium I (i568), 128MB RAM
1302 und 2 GB Festplattenspeicher.
1303 </p>
1304 <p>
1305 Einige Erweiterungen haben zuätzliche Anforderungen an die Hardware um korrekt
1306 funktionieren zu können. Ein System welches alle Anforderungen erfüllt, ist in der
1307 Lage hunderte Clients zur selben Zeit zu bedienen.
1308 </p>
1309 <h3>Heads up: Zusätzliche Architekturen in Entwicklung</h3>
1310 <p>
1311 Das IPFire Projekt ist auch interessiert Ressorcen schonende Systeme zu unterstützen.
1312 In diesem Zusammenhang, ist die ARM Architektur erwähnenswert, welche äußerst wenig Strom
1313 benötigt und ein großes Zukunftspotential aufweist.
1314 </p>
1315 <!-- <p>
1316 Mehr zu diesem Thema kann auf der <a href="/features/ports/arm">ARM Projekt Seite</a> gefunden
1317 werden.
1318 </p> -->
1319 {% else %}
1320 <p>
1321 Since IPFire is based on a recent version of the Linux kernel, it supports most
1322 of the latest hardware such as 10Gbit network cards and a variety of wireless
1323 hardware out of the box.
1324 The IPFire developers are very concerned with the ability to run IPFire as many
1325 system variations as possible.
1326 This helps IPFire to run on older or cheap hardware, as well as high-performance systems.
1327 </p>
1328 <p>
1329 Minimum system requirements are an Intel Pentium I (i586),
1330 128MB RAM and 2GB hard drive space.
1331 </p>
1332 <p>
1333 Some add-ons have extra requirements to perform smoothly.
1334 On a system that fits the hardware requirements, IPFire
1335 is able to serve hundreds of clients simultaneously.
1336 </p>
1337
1338 <h3>Heads up: More architectures in development!</h3>
1339 <p>
1340 The IPFire project is always interested in creating systems
1341 which save the environment. The ARM architecture consumes
1342 much less power and certainly has a lot of potential.
1343 </p>
1344 <!-- <p>
1345 More about this may be found on the
1346 <a href="/features/ports/arm">ARM project page</a>.
1347 </p> -->
1348 {% end %}
1349
1350 <div class="row">
1351 <div class="col-lg-3 col-md-3">
1352 <a class="thumbnail" href="{{ static_url("images/screenshots/en/hardware/hwtemp-1.png") }}">
1353 <img src="{{ static_url("images/screenshots/en/hardware/hwtemp-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
1354 </a>
1355 </div>
1356 </div>
1357 </div>
1358 </section>
1359
1360 <section id="virtualization" class="text-center">
1361 <div class="container">
1362 <div class="page-header">
1363 <h1>{{ _("Virtualization") }}</h1>
1364 </div>
1365
1366 {% if lang == "de" %}
1367 <p>
1368 IPFire bringt einige Frontend-Treiber für High-Performance-Virtualisierung
1369 mit sich und arbeitet hervorragend als Gast auf den folgenden
1370 Virtualisierungsplattformen.
1371 </p>
1372
1373 <h2>Unterstützte Hypervisoren</h2>
1374 <h3>KVM</h3>
1375 <p>
1376 <a href="http://www.linux-kvm.org">KVM</a> ist die Abkürzung
1377 für Kernel-based Virtual Machine und wird von
1378 <a href="http://www.redhat.com">Red Hat Inc.</a> entwickelt.
1379 Es ist die derzeit am häufigsten eingesetzte, freie Virtualisierungslösung
1380 und löst Xen zunehmend ab.
1381 </p>
1382 <p>
1383 Der IPFire-Kernel verfügt über die <em>virtio</em> Module,
1384 welche hervorragende Leistung bei wenig Virtualisierungsoverhead
1385 bieten.
1386 </p>
1387
1388 <h3>VMware</h3>
1389 <p>
1390 IPFire arbeitet auf verschiedenen VMware Produkten wie
1391 <em>vSphere</em>, <em>ESXi</em> und <em>VMware workstation</em>.
1392 Das optionale Paket <em>open-vm-tools</em> verbessert die
1393 Integration zusätzlich.
1394 </p>
1395
1396 <h3>Xen</h3>
1397 <p>
1398 Xen war der de-facto Open-Source-Hypervisor, wird
1399 allerdings immer öfter durch KVM ersetzt.
1400 </p>
1401 <p>
1402 IPFire bringt für den Einsatz auf einem Xen-Host einen
1403 paravirtualisierten Kernel mit.
1404 Die Installation ist sehr einfach, da bereits ein
1405 vorinstalliertes Image auf der Downloadseite heruntergeladen
1406 werden kann.
1407 </p>
1408
1409 <h3>Andere</h3>
1410 <p>
1411 IPFire ist nicht auf die oben genannten Lösungen beschränkt.
1412 Ebenso läuft die Distribution auch unter <em>Qemu</em>,
1413 <em>Microsoft Hyper-V</em> und <em>Oracle Virtualbox</em>.
1414 </p>
1415
1416 <h3>Ein Hinweis zu Virtualisierung</h3>
1417 <p>
1418 Virtualisierung hat Vorteile, allerdings nicht ohne Nachteile.
1419 Es besteht die Möglichkeit, dass die VM-Container-Sicherheit
1420 umgangen werden kann und somit ein Angreifer Zugang über die
1421 virtuelle Maschine heraus erlangen kann.
1422 Aus diesen Gründen empfehlen wir nicht IPFire virtuell
1423 in produktiven Umgebungen einzusetzen.
1424 </p>
1425 {% else %}
1426 <p>
1427 IPFire brings many front-end drivers for high-performance virtualization
1428 and can be run as virtual guest operating system on the following
1429 virtualization platforms.
1430 It has also been optimized to some of the mostly distributed ones to bring
1431 the best possible performance without impacting the hardware very much.
1432 </p>
1433
1434 <h2>Supported hypervisors</h2>
1435 <h3>KVM</h3>
1436 <p>
1437 <a href="http://www.linux-kvm.org">KVM</a> is short for
1438 Kernel-based Virtual Machine and is developed by
1439 <a href="http://www.redhat.com">Red Hat Inc.</a>.
1440 It is becoming the most advanced hypervisor and succeeding Xen, which
1441 has been used so far.
1442 </p>
1443 <p>
1444 IPFire is coming with the <em>virtio</em> kernel modules, that have best
1445 performance due to very less virtualization overhead.
1446 </p>
1447
1448 <h3>VMware</h3>
1449 <p>
1450 IPFire runs on different VMware products like <em>vSphere</em>,
1451 <em>ESXi</em> and <em>VMware workstation</em>. The additional package
1452 <em>open-vm-tools</em> offers tools for a better integration.
1453 </p>
1454
1455 <h3>Xen</h3>
1456 <p>
1457 Xen has recently been the de-facto Open Source hypervisor but is now
1458 succeeded by KVM.
1459 </p>
1460 <p>
1461 IPFire can optionally be run with a paravirtualized kernel, which has very
1462 less virtualization overhead as well. To make the installation very easy,
1463 a pregenerated Xen image can be downloaded from the download page.
1464 </p>
1465
1466 <h3>Others</h2>
1467 <p>
1468 IPFire is not limited to the hypervisors described above. It runs perfectly on
1469 <em>Qemu</em>, <em>Microsoft Hyper-V</em> or <em>Oracle VirtualBox</em>, too.
1470 </p>
1471
1472 <h3>A note on virtualization</h3>
1473 <p>
1474 Virtualization does have advantages, but it is not without disadavantages.
1475 There is always the possibility that the VM container security can be
1476 bypassed in some way and a hacker can gain access beyond the VM.
1477 Because of this, it is not suggested to use IPFire as a virtual machine
1478 in a production-level environment.
1479 </p>
1480 {% end %}
1481
1482 <div class="row">
1483 <div class="col-lg-3 col-md-3">
1484 <a class="thumbnail" href="{{ static_url("images/screenshots/en/virtualization/virt-manager-1.png") }}">
1485 <img src="{{ static_url("images/screenshots/en/virtualization/virt-manager-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
1486 </a>
1487 </div>
1488 </div>
1489 </div>
1490 </section>
1491
1492 <section id="wlanap" class="lighter-background text-center">
1493 <div class="container">
1494 <div class="page-header">
1495 <h1>{{ _("Wireless Access Point") }}</h1>
1496 </div>
1497
1498 {% if lang == "de" %}
1499 <p>
1500 IPFire bietet mehrere Möglichkeiten zur Einbindung von Wireless-Clients. Zum einen kann ein
1501 Accesspoint über eine LAN Karte angeschlossen werden. Hier bietet IPFire einen MAC/IP Addressfilter,
1502 um nur erlaubte Clients zuzulassen. Die Clients dürfen in der Standardeinstellung zwar ins Internet,
1503 aber nicht auf das lokale Lan zugreifen. Als zweite Möglichkeit kann man eine WLAN-Karte in den IPFire
1504 einbauen, die über das Addon “hostapd” Funktionalität des Accesspoints übernimmt. Unterstützt werden
1505 dann unverschlüsselte sowie WPA/WPA2 verschlüsselte Verbindungen. Auch die Nutzung des 5 GHz Bandes
1506 (802.11a) ist möglich, wenn die WLAN-Karte dies unterstützt.
1507 </p>
1508 <p>
1509 Die Unterstützung von Wireless-Karten in IPFire ist exzellent, da in dem stabilen Kernel die Treiber
1510 trotzdem auf neuestem Stand sind und somit möglichst viele Karten unterstützt werden.
1511 </p>
1512 {% else %}
1513 <p>
1514 IPFire offers several options for the integration of wireless clients. First, an access point can
1515 be connected via a LAN card. In this scenario, IPFire offers MAC/IP address filtering to allow only authorized
1516 clients. The clients are allowed by default to access the Internet, but they are not allowed access the local LAN.
1517 The second option is to install a wireless LAN (WLAN) card in the IPFire machine that takes the functionality of the access
1518 point over, using the add-on "hostapd". This add-on supports both unencrypted and WPA/WPA2-encrypted connections. Also
1519 the use of 5 GHz (802.11a standard) is possible if the wireless card supports it.
1520 </p>
1521 <p>
1522 Wireless card support in IPFire is excellent. The drivers in the stable kernel are very up-to-date
1523 and IPFire therefore supports a significant amount of WLAN cards.
1524 </p>
1525 {% end %}
1526 </div>
1527 </section>
1528 {% end block %}
The website of ipfire.org.