]> git.ipfire.org Git - ipfire.org.git/blob - templates/static/features.html
projects / ipfire.org.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
change thumbnails to row
[ipfire.org.git] / templates / static / features.html
1 {% extends "../base.html" %}
2
3 {% block title %}{{ _("About IPFire") }}{% end block %}
4
5 {% block header %}
6 <header class="jumbotron subhead" id="overview">
7 <div class="container">
8 <h1>{{ _("About IPFire") }}</h1>
9 <p class="lead">
10 {{ _("Because IPFire is more than just a firewall") }}
11 </p>
12 </div>
13 </header>
14 {% end header %}
15
16 {% block body %}
17 <div class="row">
18 <div class="col-lg-9 col-md-9">
19 <section id="about">
20 <div class="page-header">
21 <h1>
22 {{ _("IPFire") }} <small>{{ _("An Open Source Firewall Distribution") }}</small>
23 </h1>
24 </div>
25
26 <p class="ac">
27 <img src="{{ static_url("images/tux/ipfire_tux_512x512.png") }}" alt="IPFire Logo" />
28 </p>
29
30 {% if lang == "de" %}
31 <p>
32 <strong>IPFire</strong> wurde mit Augenmerk auf Modularität und einem hohen
33 Level an Flexibilität entwickelt. Es ist kinderleicht verschiedene Konfigurationen
34 zu installieren, wie zum Beispiel eine Firewall, einen Proxy-Server oder ein
35 VPN-Gateway.
36 Das modulare Design stellt sicher, dass nur exakt die Module laufen, die auch
37 benötigt werden und nichts weiter.
38 Erweiterungen und Updates lasses sich durch einen Paketmanager einfach
39 verwalten und aktualisieren.
40 </p>
41 <p>
42 Das IPFire Entwicklerteam ist sich im Klaren, dass Sicherheit von Anwendungsfall
43 zu Anwendungsfall ganz verschieden aussehen kann und sich auch über die Zeit
44 verändert.
45 Für diesen Fall erlaubt die Modularität und Flexibilität eine einfache
46 Integration in jede bestehende Sicherheitsarchitektur.
47 Nicht zu vergessen ist, dass Einfachheit in der Bedienung eine
48 Schlüsseleigenschaft ist.
49 Wenn all dies im Moment ein wenig viel klingt, so ist ein sinnvoller
50 Einsatz von IPFire schon sofort nach der Installation möglich.
51 </p>
52 <p>
53 <em>
54 Die Links in der Sidebar zeigen, was mit IPFire alles möglich ist
55 und sind einen genaueren Blick wert.
56 </em>
57 </p>
58 {% else %}
59 <p>
60 <strong>IPFire</strong> was designed with both modularity and a high-level of
61 flexibility in mind. You can easily deploy many variations of it, such as a firewall,
62 a proxy server or a VPN gateway.
63 The modular design ensures that it runs exactly what you've configured it for and
64 nothing more. Everything is simple to manage and update through the package manager,
65 making maintenance a breeze.
66 </p>
67 <p>
68 The IPFire development team understands that security means different things to
69 different people and certainly can change over time.
70 The fact that IPFire is modular and flexible make it perfect for integrating
71 into any existing security architecture.
72 Don't forget that ease-of-use is a key principle.
73 If all this sounds a little too much for you, IPFire comes with great default
74 settings out-of-the-box, meaning it's a snap to get going quickly!
75 </p>
76 <p>
77 <em>
78 Above are some links that we encourage you to click through.
79 Please take a look at all of the features and possibilities
80 which IPFire offers for your network.
81 </em>
82 </p>
83 {% end %}
84 </section>
85
86 <section id="security">
87 <div class="page-header">
88 <h1>{{ _("Security") }}</h1>
89 </div>
90
91 {% if lang == "de" %}
92 <p>
93 Das Hauptaugenmerk von IPFire liegt bei Sicherheit.
94 Gerade bei einem solch umfangreichen Thema gibt es nicht nur einen einzigen
95 Weg, um ein maximales Maß an Sicherheit zu erlangen. Mindestens genauso
96 wichtig ist es für den Netzwerkadministrator seine Bedürfnisse zu verstehen
97 und entsprechend zu handeln. IPFire stellt für diesen Zweck eine Basis bereit,
98 die einzelne Netzwerksegmente nach ihren Sicherheitslevels unterteilt und erlaubt diese
99 anschließend nach eigenen Erfordernissen anzupassen
100 (mehr dazu unter <a href="/features/firewall">Firewall</a>).
101 </p>
102 <p>
103 Eine ebenso hohe Priorität genießt die Sicherheit der modularen Komponenten.
104 Aktualisierungen werden digital signiert, verschlüsselt
105 und können automatisch über das <a href="/features/pakfire">Pakfire
106 Paketmanagement-System</a> installiert werden.
107 Typischerweise ist IPFire direkt mit dem Internet verbunden und macht es
108 somit zu einem Ziel für Hacker und andere Gefahren.
109 Das Paketmanagement-System unterstützt den Administrator darin,
110 sicher zu sein, dass alle wichtigen Lücken gestopft und Fehler
111 in allen eingesetzten Komponenten beseitigt sind.
112 </p>
113 {% else %}
114 <p>
115 The primary objective of IPFire is security.
116 As there is of course no one, single way to achieve network security, it is important
117 for a network administrator to understand their environment and what the term
118 <em>security</em> means in the context of their own network.
119 IPFire forms the base of a secure network.
120 It has the power to segment networks based on their respective security levels
121 and makes it easy to create custom policies that manage each segment
122 (see the Firewall page for more information).
123 </p>
124 <p>
125 Security of the modular components is a top priority.
126 Updates are digitally signed and encrypted, as well as can be automatically installed
127 by Pakfire (<a href="/features/updates">the IPFire package management system</a>).
128 Since IPFire is typically directly connected to the Internet, it is going to be a
129 primary target for hackers and other threats.
130 The simple Pakfire package manager helps administrators feel confident that
131 they are running the latest security updates and bug fixes for all of the
132 components they utilize.
133 </p>
134 {% end %}
135 </section>
136
137 <section id="firewall">
138 <div class="page-header">
139 <h1>{{ _("Firewall") }}</h1>
140 </div>
141
142 {% if lang == "de" %}
143 <p>
144 IPFire nutzt eine Stateful-Packet-Inspection-Firewall (SPI),
145 welche auf das Linux Paketfilter-Framework <em>netfilter</em> aufsetzt.
146 </p>
147 <p>
148 Während des IPFire Installationsprozesses, wird das Netzwerk in
149 mehrere separate Segmente unterteilt.
150 Dieses Sicherheitsschema impliziert einen perfekten Platz für
151 jedes System im Netzwerk.
152 Jedes Segment kann nach Bedarf zugeschaltet werden, abhängig vom
153 Einsatzort und -zweck und alle Systeme in einem Segment werden
154 mit der gleichen Sicherheitspolicy behandelt:
155 </p>
156
157 <table class="table table-striped table-bordered">
158 <tbody>
159 <tr>
160 <td style="background-color: green; color: white;">
161 <strong>Green</strong>
162 </td>
163 <td>
164 Grün repräsentiert die "sichere" Zone.
165 In diese Zone gelangen alle herkömmlichen
166 Clients, welche meist mit dem Kabelnetzwerk
167 verbunden sind. Von hier aus können die Clients
168 uneingeschränkt auf alle anderen Zonen zugreifen.
169 </td>
170 </tr>
171 <tr>
172 <td style="background-color: red; color: white;">
173 <strong>Red</strong>
174 </td>
175 <td>
176 Rot impliziert "Gefahr" - also die Verbindung zum
177 Internet.
178 Nichts von hier aus darf die Firewall passieren,
179 außer dies ist explizit vom Administrator erlaubt.
180 </td>
181 </tr>
182 <tr>
183 <td style="background-color: darkblue; color: white;">
184 <strong>Blue</strong>
185 </td>
186 <td>
187 Blau repräsentiert das drahtlose Segment des
188 Netzwerks (aufgrund der Farbe des Himmels).
189 Da Wireless-Clients von Natur aus ein größeres
190 Gefahrenpotential sind, muss für jedes System
191 in diesem Teil der Zugang zum Internet gesondert
192 erlaubt werden.
193 </td>
194 </tr>
195 <tr>
196 <td style="background-color: orange; color: white;">
197 <strong>Orange</strong>
198 </td>
199 <td>
200 Das orangene Netzwerk wird auch als demilitarisierte
201 Zone (DMZ) bezeichnet.
202 Alle Server, die aus dem Internet erreichbar sind
203 gehören in dieses Netz um kein Sicherheitsrisiko
204 für andere lokale Systeme zu sein.
205 </td>
206 </tr>
207 </tbody>
208 </table>
209
210 <p>
211 Zusätzlich zu den oben genannten Policies kann auch der ausgehende
212 Netzwerkverkehr für jedes Segment geregelt werden.
213 Diese Funktion gibt dem Netzwerkadministrator vollständige
214 Kontrolle über das Netzwerk.
215 </p>
216 {% else %}
217 <p>
218 IPFire employs a Stateful Packet Inspection (SPI) firewall,
219 which is built on top of netfilter (the Linux packet filtering framework).
220 </p>
221 <p>
222 During the installation of IPFire, the network is configured into different,
223 separate segments.
224 This segmented security scheme means that there is a perfect place for each
225 machine in the network.
226 These different segments may be enabled separately, depending on your requirements.
227 Each segment represents a group of computers who share a common security level:
228 </p>
229
230 <table class="table table-striped table-bordered">
231 <tbody>
232 <tr>
233 <td style="background-color: green; color: white;">
234 <strong>Green</strong>
235 </td>
236 <td>
237 Green represents a "safe" area.
238 This is where all regular clients will reside.
239 It is usually comprised of a wired, local network.
240 Clients on Green can access all other network
241 segments without restriction.
242 </td>
243 </tr>
244 <tr>
245 <td style="background-color: red; color: white;">
246 <strong>Red</strong>
247 </td>
248 <td>
249 Red indicates "danger" or the connection to the Internet.
250 Nothing from Red is permitted to pass through the
251 firewall unless specifically configured by the
252 administrator.
253 </td>
254 </tr>
255 <tr>
256 <td style="background-color: darkblue; color: white;">
257 <strong>Blue</strong>
258 </td>
259 <td>
260 Blue represents the "wireless" part of the local
261 network (chosen because it's the color of the sky).
262 Since the wireless network has the potential for abuse,
263 it is uniquely identified and specific rules govern
264 clients on it.
265 Clients on this network segment must be explicitly
266 allowed before they may access the network.
267 </td>
268 </tr>
269 <tr>
270 <td style="background-color: orange; color: white;">
271 <strong>Orange</strong>
272 </td>
273 <td>
274 Orange is referred to as the "demilitarized zone" (DMZ).
275 Any servers which are publicly accessible are separated
276 from the rest of the network here to limit security
277 breaches.
278 </td>
279 </tr>
280 </tbody>
281 </table>
282
283 <p>
284 Additionally, the firewall can be used to control outbound Internet
285 access from any segment.
286 This feature gives the network administrator complete control
287 over how their network is configured and secured.
288 </p>
289 {% end %}
290
291 <hr class="separator">
292
293 <div class="row">
294 <li class="col-lg-3 col-md-3">
295 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/edit-portfw-rule-1.png") }}">
296 <img src="{{ static_url("images/screenshots/en/firewall/edit-portfw-rule-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
297 </a>
298 </div>
299 <div class="col-lg-3 col-md-3">
300 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/dmz-holes-1.png") }}">
301 <img src="{{ static_url("images/screenshots/en/firewall/dmz-holes-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
302 </a>
303 </div>
304 <div class="col-lg-3 col-md-3">
305 <a class="thumbnail" href="{{ static_url("images/screenshots/en/firewall/connections-1.png") }}">
306 <img src="{{ static_url("images/screenshots/en/firewall/connections-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
307 </a>
308 </div>
309 </div>
310 </section>
311
312 <section id="pakfire">
313 <div class="page-header">
314 <h1>
315 Pakfire <small>{{ _("The IPFire package management system") }}</small>
316 </h1>
317 </div>
318
319 {% if lang == "de" %}
320 <p>
321 Vom technischen Standpunkt aus ist IPFire ein schlankes, gehärtetes
322 Firewall-System, welches den Paketmanager Pakfire mitbringt.
323 Die primäre Aufgabe von Pakfire ist es, Systemupdates mit nur einem Klick
324 einspielen zu können.
325 Somit ist es ganz leicht <a href="/features/updates">Sicherheitslücken
326 zu schließen und Bugfixes sowie neue Funktionen zu installieren</a>.
327 Dies macht IPFIre sicherer und schneller - oder einfach: besser.
328 </p>
329 <p>
330 Eine weitere Aufgabe ist es, zusätzliche Addons zu installieren, welche die
331 Funktionen des Systems erweitern.
332
333 Einige beliebte sind unter anderen:
334
335 <ul>
336 <li>Datei- und Druckdienste wie <em>samba</em> und <em>vsftpd</em></li>
337 <li>Kommunikationslösungen wie <em>Asterisk</em></li>
338 <li>
339 Verschiedene Kommandozeilenhelfer wie
340 <em>tcpdump</em>, <em>nmap</em>, <em>traceroute</em>
341 und viele mehr.
342 </li>
343 </ul>
344 </p>
345
346 <hr class="separator">
347
348 <h2>Pakfire als Buildsystem</h2>
349 <p>
350 Das kommende Major-Release von IPFire wird eine neue
351 Generation des Pakfire Paketmanagementsystems mitbringen.
352 Diese ist schneller, sicherer und einfacher zu bedienen.
353 Dazu kommen unzählige neue Funktionen.
354 </p>
355 <p>
356 Eine der neuen Funktionen ist, dass <em>pakfire</em>
357 nun auch als Buildsystem fungiert.
358 Ein auf die IPFire-Distribution angepasstes Buildsystem
359 hat die Produktivität der Entwickler immens gesteigert.
360 Neue Pakete zu bauen ist nun einfacher und nimmt weniger
361 Zeit in Anspruch.
362 </p>
363 <p>
364 Qualitätssicherung ist jetzt eine Aufgabe für alle.
365 Mehr dazu auf <a href="http://pakfire.ipfire.org/">pakfire.ipfire.org</a>.
366 </p>
367 {% else %}
368 <p>
369 From a technical point of view, IPFire is a minimalistic, hardened firewall system
370 which comes with an integrated package manager called Pakfire.
371 The primary task of Pakfire is to update the system with only a single click.
372 It is very easy to install <a href="/features/updates">security patches,
373 bugfixes and feature enhancements</a>, which make IPFire safer and faster
374 - or simply: better.
375 </p>
376 <p>
377 Another task of Pakfire is to install additional software that adds new
378 functionality to the IPFire system.
379
380 Some useful of them are:
381
382 <ul>
383 <li>File sharing services such as Samba and vsftpd</li>
384 <li>Communications server using Asterisk</li>
385 <li>
386 Various command-line tools as <em>tcpdump</em>,
387 <em>nmap</em>, <em>traceroute</em> and many more.
388 </li>
389 </ul>
390 </p>
391
392 <hr class="separator">
393
394 <h2>Pakfire as a build system</h2>
395 <p>
396 The next major release of IPFire will also ship a new generation
397 of the Pakfire packagement system.
398 This new generation has been made faster, more secure, more
399 easy to handle and adds a whole bunch of new features.
400 </p>
401 <p>
402 One of this features is that <em>pakfire</em> is now the
403 buildsystem as well. Having a customized build system for
404 the needs of IPFire and the IPFire developers improved
405 the development process very much. Building new packages
406 became a lot more easy and less time-consuming.
407 </p>
408 <p>
409 Quality assurance became more social right now. Check it
410 out at <a href="http://pakfire.ipfire.org/">pakfire.ipfire.org</a>.
411 </p>
412 {% end %}
413
414 <hr class="separator">
415
416 <div class="row">
417 <div class="col-lg-3 col-md-3">
418 <a class="thumbnail" href="{{ static_url("images/screenshots/en/pakfire/pakfire-overview-1.png") }}">
419 <img src="{{ static_url("images/screenshots/en/pakfire/pakfire-overview-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
420 </a>
421 </div>
422 <div class="col-lg-3 col-md-3">
423 <a class="thumbnail" href="{{ static_url("images/screenshots/en/pakfire/addon-services-1.png") }}">
424 <img src="{{ static_url("images/screenshots/en/pakfire/addon-services-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
425 </a>
426 </div>
427 </div>
428 </section>
429
430 <section id="updates">
431 <div class="page-header">
432 <h1>{{ _("Updates") }}</h1>
433 </div>
434
435 {% if lang == "de" %}
436 <p>
437 IPFire basiert auf Linux, dem besten Open-Source-Kernel, den es gibt.
438 Ebenso basiert IPFire <strong>nicht</strong> auf irgendeiner Distribution
439 wie z.B. Knoppix auf Debian basiert sondern wird aus den Sourcen einer
440 großen Anzahl von Paketen gebaut. Dieser Prozess der Entwicklung kostet
441 viel Zeit, gibt allerdings die Möglichkeit nicht von Updatezyklen anderer
442 abzuhängen. Dagegen hat es den Vorteil besonders zuverlässige Versionen
443 eines Softwarepakets auszuwählen und den größten Teil der Distribution
444 daraus aufzubauen. Der Kernel hingegen wird laufend aktualisiert und
445 gepatcht um aktuelle und eine möglichst breite Palette an Hardware zu
446 unterstützen - und viel wichtiger, Sicherheitsupdates zeitnah zur
447 Verfügung zu stellen.
448 </p>
449 <p>
450 Das macht IPFire zu einem sehr leistungsfähigen und gleichzeitig
451 gehärtetem System.
452 </p>
453 <p>
454 Um dies beizubehalten und kompatibel zu der Vielzahl an Hardware auf
455 dem Markt zu bleiben, werden sogenannte "Core Updates" in einem Abstand
456 von etwa vier Wochen herausgegegen, um gesammelte Patches auszuliefern.
457 Im Falle eines kritischen Sicherheitsproblems in einem der Pakete gibt
458 es Sicherheitsupdates innerhalb weniger als 24 Stunden.
459 </p>
460 <p>
461 Alle Updates können mittels des Paketmanagementsystems eingespielt werden
462 und die Benutzer werden per Email über eben diese informiert. So ist
463 in allen Fällen das Update nach einem einzigen Klick installiert und
464 das System ist wieder gesichert im Internet.
465 </p>
466 {% else %}
467 <p>
468 IPFire is based on Linux, which is the best Open Source kernel around.
469 Additionally, IPFire is <strong>not</strong> based on any other
470 distribution like Knoppix is on Debian. It is compiled from the sources
471 of every single package. This comsumes a lot of work, but finally
472 gives the opportunity to not rely on the update cycles of others.
473 The advantages we gain is that we are able to select very stable
474 versions of software and build the distribution from them. For example
475 is the most part of the distribution quite well tested and long maintained
476 - in contrast to the kernel which is very recent and regularly updated
477 with patches to support as much hardware as possible and more importantly
478 fix security errors.
479 </p>
480 <p>
481 This is what makes IPFire a very strong and hardened system.
482 </p>
483 <p>
484 To keep up that strength and be prepared for new
485 <a href="/features/hardware">hardware</a>, we give
486 out the so called <strong>Core Updates</strong> which are issued in
487 about every four weeks and updating collected fixes. If there is a
488 security emergency, we provide updates in less than a day to overcome
489 zero-day holes in the system.
490 </p>
491 <p>
492 All of the updates can be installed by the
493 <a href="/features/pakfire">package management system</a>
494 and users are notified by mail. So in all cases, the update is just
495 a simple click and your system is running safe again.
496 </p>
497 {% end %}
498 </section>
499
500 <section id="dialup">
501 <div class="page-header">
502 <h1>{{ _("Dialup") }}</h1>
503 </div>
504
505 {% if lang == "de" %}
506 <p>
507 IPFire ist als Internet-Gateway in der Lage über verschiedene
508 (Einwahl-)Techniken eine Verbindung zum Internet aufzubauen.
509 </p>
510 <p>
511 Es werden alle gängigen Breitbandzugangsarten wie auch mobile Zugänge unterstützt:
512 </p>
513
514 <table class="table table-striped table-bordered">
515 <tbody>
516 <tr>
517 <td>
518 <strong>VDSL</strong>
519 </td>
520 <td>
521 VDSL ist die Abkürzung für <em>Very High Data Rate Digital Subscriber Line</em> und
522 bietet in Deutschland derzeit Bandbreiten bis zu 50 MBit/s im Downstream und 10 MBit/s im Upstream.
523 Damit eignet sich VDSL für die Zukunft und bringt auch IPTV mit sich. Mit IPFire kann der herkömmliche
524 Router ausgetauscht werden und auf ein vollwertiges System gesetzt werden, das den IPTV-Stream ins
525 eigene Netz bringt.
526 </td>
527 </tr>
528 <tr>
529 <td>
530 <strong>ADSL/SDSL</strong>
531 </td>
532 <td>
533 Selbstverständlich wird auch herkömmliches DSL unterstützt, wobei es sich
534 technisch um PPPoE oder PPPoA handelt. In einigen Ländern ist auch PPTP als Protokoll verbreitet und
535 wird ebenso unterstützt.
536 </td>
537 </tr>
538 <tr>
539 <td>
540 <strong>Ethernet</strong>
541 </td>
542 <td>
543 Über Ethernet kann IPFire ebenfalls mit dem Internet verbunden werden und
544 eine IP-Adresse entweder per DHCP beziehen oder statisch konfiguriert werden. Das wird u.a. bei
545 Verbindungen über Kabel genutzt.
546 </td>
547 </tr>
548 <tr>
549 <td>
550 <strong>3. Generation</strong>
551 </td>
552 <td>
553 Über USB-Modems wird auch jede Art von mobilen Breitbandverbindungen
554 unterstützt, welche bekannt sind unter den Bezeichnungen UMTS, 3G, CDMA, HSDPA oder LTE.
555 </td>
556 </tr>
557 </tbody>
558 </table>
559 {% else %}
560 <p>
561 IPFire as an Internet Gateway is able to dialup through various techniques
562 to connect to the Internet.
563 </p>
564 <p>
565 It supports all popular types of broadband access, as well as mobile access:
566 </p>
567
568 <table class="table table-striped table-bordered">
569 <tbody>
570 <tr>
571 <td>
572 <strong>VDSL</strong>
573 </td>
574 <td>
575 VDSL is short for <em>Very High Data Rate Digital Subscriber Line</em> and
576 it currently offers bandwidth up to 50 Mbit/s downstream and 10 Mbit/s upstream.
577 VDSL brings the possibility of using new technologies such as IPTV. With IPFire, a conventional
578 router can be replaced by a full-fledged system that brings the IPTV stream into your own home network.
579 </td>
580 </tr>
581 <tr>
582 <td>
583 <strong>ADSL/SDSL</strong>
584 </td>
585 <td>
586 Conventional DSL is also supported, although it is technically
587 called also PPPoE or PPPoA. In some countries, the PPTP protocol is also widely used and it is also fully
588 supported by IPFire.
589 </td>
590 </tr>
591 <tr>
592 <td>
593 <strong>Ethernet</strong>
594 </td>
595 <td>
596 Over Ethernet, IPFire can also be connected to the Internet and obtain
597 an IP address either via DHCP or static configuration.
598 </td>
599 </tr>
600 <tr>
601 <td>
602 <strong>3rd Generation</strong>
603 </td>
604 <td>
605 Mobile broadband connections over USB modems, which are also known by the names
606 UMTS, 3G, CDMA, HSDPA or LTE are also supported by IPFire.
607 </td>
608 </tr>
609 </tbody>
610 </table>
611 {% end %}
612 </section>
613
614 <section id="proxy">
615 <div class="page-header">
616 <h1>{{ _("Web proxy") }}</h1>
617 </div>
618
619 {% if lang == "de" %}
620 <p>
621 Der Webproxy in IPFire, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt
622 und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse
623 Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht
624 ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten
625 Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll
626 übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-, HTTPS- sowie
627 FTP-Inhalte über Squid angefordert werden.
628 </p>
629 <ul>
630 <li>
631 <strong>Sicherheit:</strong> Der Client fragt nicht selbst, er lässt seinen Proxy fragen.
632 Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt
633 somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie
634 den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung,
635 was einen Vorteil gegenüber einem reinen NAT Router darstellt.
636 </li>
637 <li>
638 <strong>Authentifizierung:</strong> Über Access-Listen kann Squid auch veranlasst werden,
639 Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd,
640 Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy
641 zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern
642 der Zugang zum Internet gewährt werden kann.
643 </li>
644 <li>
645 <strong>Kontrolle der Zugriffe:</strong> Soll der Internetzugriff nur zu speziellen Tageszeiten
646 oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die
647 “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller
648 Anwendungsbereich dafür sind z.B. Schulen.
649 </li>
650 <li>
651 <strong>Protokollierung:</strong> Da jeder Zugriff über den Proxy protokolliert werden kann, bieten
652 sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken
653 und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien
654 in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen.
655 </li>
656 <li>
657 <strong>Bandbreitenmanagement:</strong> Das Downloadmanagement lässt eine Kontrolle der Bandbreite
658 für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien,
659 CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen
660 Zonen oder für Hosts in den jeweiligen Zonen.
661 </li>
662 </ul>
663 {% else %}
664 <p>
665 IPFire includes a full-fledged web proxy, which is the well-known, open-source software Squid. It is used by ISPs, universities, schools and large companies use because of its diversity, stability and mature development. Even for small home networks, it
666 is a useful feature. In addition to the stateful paket inspection (SPI) filtering by the firewall on
667 the TCP/IP layer, the web content which is transmitted over HTTP, HTTPS or FTP can be analyzed
668 and filtered as well.
669 </p>
670 <ul>
671 <li>
672 <strong>Security:</strong> The client does not query web servers directly, it queries the proxy first.
673 The server response goes back to the proxy and not to the client, which actually does not technically even appear on the
674 Internet. A related attack would therefore primarily reach the proxy and not the client. There are also
675 functions available for data privacy, which is an significant advantage in comparison to a pure NAT router.
676 </li>
677 <li>
678 <strong>Authentication:</strong> Using the access lists, the web proxy can also be configured to allow
679 access only after a user has been authenticated. At this point you have the choice between LDAP, identd,
680 Windows, Radius or local authentication methods. The web proxy can connect, for example to a
681 Microsoft Windows domain controller and only the users of that Windows domain can be granted access to the Internet.
682 </li>
683 <li>
684 <strong>Authorization:</strong> If the Internet access needs to be limited to specific time of a day,
685 or if it should be even completely disabled for any clients, is this easily configured by the
686 “network-based access control”, which can also be found on the IPFire web interface. A useful application for this feature can be for example, a school classroom.
687 </li>
688 <li>
689 <strong>Logging:</strong> Since each access can be logged over the proxy, possibilities for the
690 examination of the accessed content can be very useful, as well as statistics and bills can be issued afterwards.
691 Through the use of a logfile analyzer named Calamaris, log files can be charted by varying criteria
692 on the IPFire web interface.
693 </li>
694 <li>
695 <strong>Bandwidth management:</strong> The download management function allows for control of the bandwidth
696 to specified zones. Thus, content-based throttling (for example for binary files, CD images or
697 multimedia content) is configurable with bandwidth limitations for individual zones or for each host
698 in a particular zone.
699 </li>
700 </ul>
701 {% end %}
702
703 <hr class="separator">
704
705 <h2>{{ _("Content filter") }}</h2>
706
707 {% if lang == "de" %}
708 <p>
709 SquidGuard ist ein URL-Filter, der über den Redirektor-Mechanismus an den Proxy angebunden wird.
710 Das Herz stellen sogenannte Blacklists dar, die von offizieller Seite erstellt, eine Reihe von
711 klassifizierten Webseiten enthalten und über das Webinterface automatisch auf dem neuesten Stand
712 gehalten werden. Es stehen unterschiedliche, freie Quellen für vorgefertigte Blacklists zur Verfügung,
713 die erlauben unter anderem jugendgefährdende Inhalte, Shopping-, Warez-, Social-Networking- oder
714 gewaltverherrlichende Seiten zu filtern.
715 </p>
716 <p>
717 Individuelle Erweiterungen einzelner Domains oder URLs können für Blacklists und ebenso für Whitelists
718 über das Webinterface eingerichtet werden. IPFire bietet auch einen Blacklist-Editor, der das Editieren
719 und erstellen eigener Blacklists über das Webinterface anbietet.
720 </p>
721 <p>
722 Mögliche Anwendungsbereiche für SquidGuard auf dem IPFire sind:
723 </p>
724 <ul>
725 <li>
726 Sperren oder Einschränken spezieller Internet Inhalte in Abhängigkeit von Uhrzeit, Benutzer
727 und verwendetem Rechner.
728 </li>
729 <li>
730 Verhinderung des Zugriffs auf bestimmte (z.B. jugendgefährdende) Seiten.
731 </li>
732 <li>
733 Ausblenden von Werbung.
734 </li>
735 </ul>
736 {% else %}
737 <p>
738 SquidGuard is a URL filter add-on which is connected via the redirector mechanism of the proxy.
739 The heart of SquidGuard is something called a "blacklist." This is a content control list created by the official site. These lists contain a number of categorically-classified websites and can be kept up-to-date automatically. There are different, independent
740 sources for pre-built blacklists available, which allow among other classes filtering for adult
741 content, shopping, warez, social networking, or sites containing violent/abusive content.
742 </p>
743 <p>
744 Individual extensions for particular domains or URLs can be set up on the IPFire web interface for
745 blacklists and whitelists as well. IPFire also offers a black list editor, that makes the editing
746 and creating your own blacklists quite easy.
747 </p>
748 <p>
749 Possible areas of application for the SquidGuard on IPFire are:
750 </p>
751 <ul>
752 <li>
753 Block or restrict Internet content conditionally by time, user and/or computers.
754 </li>
755 <li>
756 Preventing access to certain (eg. youth-endangering) pages and content categories.
757 </li>
758 <li>
759 Hiding advertising.
760 </li>
761 </ul>
762 {% end %}
763
764 <hr class="separator">
765
766 <h2>{{ _("Update accelerator") }}</h2>
767
768 {% if lang == "de" %}
769 <p>
770 Der Update-Accelerator ist ein System, das Updates für z.B. Betriebssysteme erheblich beschleunigen
771 kann. Dazu werden alle heruntergeladenen Updates zwischengespeichert und bei einem weiteren Download
772 aus dem lokalen Cache ausgeliefert.
773 </p>
774 <p>
775 Bei Service Packs für Microsoft Windows, die oft einige hundert Megabytes haben, lohnt sich dieses
776 Speichern massiv, aber auch Virenscanner und andere Produkte profitieren hiervon und machen ein Update von
777 allen Workstations in der Firma zu einer schnell erledigten Aufgabe.
778 </p>
779 {% else %}
780 <p>
781 The Update Accelerator is a feature that can greatly accelerate deploying updates for operating systems.
782 All downloaded updates are cached and if requested another time, are delivered from the cache.
783 </p>
784 <p>
785 For example, Service Packs for Microsoft Windows (which often are several hundred megabytes) are cached for future retrieval, as well as virus scanner definition updates and other product updates which the system automatically identifies. This saves a massive amount of time when updating large amounts of computers (such as corporate networks).
786 </p>
787 {% end %}
788
789 <hr class="separator">
790
791 <h2>{{ _("Transparent virus scanner") }}</h2>
792
793 {% if lang == "de" %}
794 <p>
795 Das Paketmanagement bietet das Addon “SquidClamAV” zur Erweiterung an. Somit steht dem Webproxy
796 ein Virenscanner zur Verfügung, der in Echtzeit den Datenverkehr nach Viren mit Hilfe des bekannten
797 ClamAV prüft.
798 </p>
799 <p>
800 Der zusätzliche Schutz zu einem herkömmlichen Virenscanner besteht vor allem darin, dass die Dateien
801 nicht erst auf den Client-Rechner gelangen, bevor der Virenscan ausgeführt werden kann. Potentielle
802 Schädlinge werden vor dem Download durch SquidClamAV geblockt.
803 </p>
804 {% else %}
805 <p>
806 The package manager Pakfire offers the addon SquidClamAV - a virus scanner for the web proxy. This checks in real-time all web traffic for viruses, utilizing the ClamAV virus definitions and scanning engine.
807 </p>
808 <p>
809 The additional protection to a conventional virus scanner lies in the fact that the files are transparently checked before ever making it to the client machine before the client machine's virus scan can be performed. So potentially-malicious files are blocked by
810 SquidClamAV before the client's actual download.
811 </p>
812 {% end %}
813 </section>
814
815 <section id="vpn">
816 <div class="page-header">
817 <h1>
818 {{ _("VPN") }} <small>{{ _("Virtual Private Networks") }}</small>
819 </h1>
820 </div>
821
822 {% if lang == "de" %}
823 <p>
824 IPFire kann zu einem VPN-Gateway (virtal private network - virtuelles, privates Netzwerk)
825 ausgebaut werden, welches Personen mit unterschiedlichem Standort untereinander verbindet.
826 Dies können zum Beispiel Mitarbeiter, Freunde oder Personen sein mit denen man Daten sicher
827 austauschen möchte, aber auch eine Filiale, Außenstelle, wichtige Kunden oder andere Unternehmen
828 mit denen kommuniziert wird.
829 </p>
830 <p>
831 Um sich über verschiedene Technologien verbinden zu können unterstützt IPFire die VPN Protokolle
832 IPsec und OpenVPN. Dies erlaubt dem Administrator große Freiheiten bei der Konfiguration des VPNs.
833 Die Verwendung dieser Protokolle erlaubt es IPFire auch sich mit VPN Endpunkten verschiedenster
834 Hardwarehersteller, wie Cisco, Juniper, Checkpoint, etc. zu verbinden.
835 </p>
836 {% else %}
837 <p>
838 IPFire also includes functionality to create virtual private networks (VPN).
839 A VPN is a gateway which connects remote networks to the local one using an
840 encrypted link.
841 Uses for a VPN include business connections to branch offices or datacenters,
842 as well as providing traveling staff with a secure portal to the corporate network.
843 </p>
844 <p>
845 For maximum flexibility, IPFire uses both IPsec and OpenVPN protocols,
846 giving administrators maximum flexibility when configuring their VPN.
847 Use of these protocols allows IPFire to connect to a variety of VPN endpoint
848 devices by manufacturers such as Cisco, Juniper, Checkpoint, etc.
849 </p>
850 {% end %}
851
852 <hr class="separator">
853
854 <h2>{{ _("IPsec") }}</h2>
855
856 {% if lang == "de" %}
857 <p>
858 IPsec ist ein Standard, der unter den VPN-Technologien weit bekannt
859 ist und im IPv6-Protokoll entwickelt wurde. Da IPv6 allerdings erst
860 langsam seinen Weg in die Welt findet, wurde das IPsec-Protokoll
861 auf IPv4 zurückzuportiert.
862 </p>
863
864 <p>
865 Im Gegensatz zu den ebenfalls eingesetzten SSL-VPNs gilt IPsec als
866 schwer einzurichten. Diese Hürde wurde in IPFire beseitigt - zur
867 Verfügung steht ein einfach zu bedienendes User-Interface,
868 in welches man einige Konfigurationsparameter eingibt, welches dann
869 den Rest übernimmt. Ebenso wird automatsich dafür gesorgt, dass die
870 Tunnel geöffnet sind und, dass diese von allein wieder aufgebaut werden,
871 sollte einmal ein Tunnelpartner seine Internetverbindung verlieren.
872 So wird eine sichere und stabile Verbindung zu Filialen, Partnern oder
873 dem Zuhause innerhalb von Minuten eingerichtet und sie ist auch
874 kompatibel zu denen anderer Anbieter.
875 </p>
876
877 <p>
878 Der hohe Grad der Kompatibilität zu anderen Herstellern wird durch
879 die Verwendung der freien Implementierung
880 <a href="http://www.strongswan.org" target="_blank">strongSwan</a>
881 möglich, welches von Andreas Steffen, einem Professor für Sicherheit
882 in der Kommunikationstechnik und Leiter des Instituts für
883 Internetechnologien und -applikationen an der Universität der
884 angewandten Wissenschaften Rapperswil in der Schweiz entwickelt wird.
885 StrongSwan arbeitet besonders gut mit Produkten wie Microsoft Windows 7,
886 Microsoft Windows Vista und Mac OS X zusammen.
887 </p>
888 {% else %}
889 <p>
890 IPsec is a widely-deployed VPN solution that was originally developed to be used in conjunction with IPv6. Because it was so secure and IPv6 was so slowly deployed, it was backported to secure IPv4 traffic as well.
891 </p>
892
893 <p>
894 In contrast to SSL-VPNs, IPsec is hard to set-up. In IPFire, we
895 thought about how to make this technology easy-to-use and as a result, there
896 is a web user interface that handles all settings and takes care of the rest
897 of the configuration for you. It also keeps the tunnels alive and
898 re-establishes them automatically after a remote site has lost the connection. A secure connection to a branch office, a
899 business partner, or a home office is done within a couple of minutes
900 and compatible with all other implementations.
901 </p>
902
903 <p>
904 This high-level of compatibility is achieved by using the free
905 implementation called
906 <a href="http://www.strongswan.org" target="_blank">strongSwan</a>. It is maintained by Andreas Steffen, who is a professor for security in communications and head of the Institute for Internet Technologies
907 and Applications at the University of Applied Sciences Rapperswil, in
908 Switzerland. StrongSwan also works with all current, major operating systems, such as Microsoft
909 Windows 7, Microsoft Windows Vista and Mac OS X.
910 </p>
911 {% end %}
912
913 <hr class="separator">
914
915 <h2>{{ _("OpenVPN") }}</h2>
916
917 {% if lang == "de" %}
918 <p>
919 Unter den Open Source SSL-VPNs ist OpenVPN ein häufig angetroffener und
920 beliebter Vertreter, dessen einfache Konfiguration über das IPFire-
921 Webinterface noch einmal erleichtert wird. Die Firewall-Einstellungen
922 werden von IPFire automatisch geregelt, ebenso werden die benötigten
923 Zertifikate mit wenigen Mausklicks erzeugt und können als kompaktes
924 Client-Paket heruntergeladen, verteilt und mit einem weiteren Klick
925 ausgeführt werden.
926 </p>
927 <p>
928 Durch die hohe Kompatibilität zu anderen Betriebssystemen
929 (Microsoft Windows, Mac OSX, Linux, Android, uvam.)
930 eignet sich OpenVPN bestens zur Anbindung sogenannter Roadwarrior-Clients.
931 Eine leicht zu konfigurierende, durch Zertifikate gesicherte,
932 verschlüsselte Anbindung aus dem Internet
933 auf Firmendaten oder das Zuhause liegende Netzwerk kann nicht
934 nur über Notebooks, sondern unter anderem auch über PDAs, Smartphones
935 oder Tablets hergestellt werden.
936 </p>
937 <p>
938 Doch neben der Anbindung von Laptops und anderen Handgeräten, kann
939 mit OpenVPN auch eine transparente Verbindung zu Filialen, Partnern
940 und für jeden beliebigen anderen Einsatz erstellt werden.
941 Das ermöglicht sicheren Zugriff auf ein gesamtes Netzwerk ohne
942 aufwändige Konfiguration.
943 </p>
944 {% else %}
945 <p>
946 OpenVPN is a frequently-encountered and most popular representative
947 of the class of Open Source SSL VPNs.
948 Its relative ease of configuration has again, been made easier
949 by the IPFire web interface. The firewall settings are controlled
950 by IPFire automatically, as well as the required certificates will be
951 generated with a few mouse clicks and can be downloaded and distributed
952 as a very compact client package.
953 </p>
954 <p>
955 Due to its high compatibility to all sorts of operating systems,
956 such as Microsoft Windows, Mac OSX, Linux, Android and many more,
957 it is perfectly useful for roadwarrior connections.
958 With those, it is easy to connect your laptop, phone, tablet or
959 other devices to your company network, which makes it easy to
960 work from anywhere in the world.
961 </p>
962 <p>
963 But besides connecting portable devices, OpenVPN can also be used
964 to securely connect branches to the headquater.
965 This makes it easy to access resources on other networks
966 remotely without any complicated configuration on each client
967 on your local network.
968 </p>
969 {% end %}
970 </section>
971
972 <section id="ids">
973 <div class="page-header">
974 <h1>{{ _("Intrusion detection system") }}</h1>
975 </div>
976
977 {% if lang == "de" %}
978 <p>
979 Ein Intrusion Dection System, kurz IDS, dient zur Erkennung von Angriffen gegen Computersysteme
980 oder Computernetze. Dabei analysiert das IDS den Netzwerktraffic und durchsucht diesen nach Angriffsmustern.
981 Wird zum Beispiel ein einfacher Portscan auf ein IPFire-System ausgeführt um angebotene Dienste auszuspähen,
982 dann wird dies sofort erkannt.
983 </p>
984 <p>
985 Ein IPS, Intrusion Prevention System, hat zusätzlich zu der Erkennung die Aufgabe Aktionen auszuführen.
986 Dabei nimmt es Informationen zum Angriff vom IDS entgegen und handelt entsprechend. Bei dem Beispiel des
987 Portscans würde es den Angreifer blocken damit keine Daten mehr ausgetauscht werden.
988 </p>
989 <p>
990 Arbeiten wie in IPFire beide Systeme zusammen nennt man dies ein IDPS (Intrusion detection and prevention
991 system). Ein sehr bekannter Vertreter dafür ist Snort. Das freie Netzwerk Intrusion Dection System (NIDS)
992 analysiert den Datenverkehr und sofern es etwas Auffälliges findet, logt es dieses. IPFire bietet die
993 Möglichkeit die erkannten Angriffe im Webinterface detailliert durchzusehen.
994 </p>
995 <p>
996 Automatische Gegenmaßnahmen verrichtet in IPFire Guardian, was optional nachinstalliert werden kann.
997 </p>
998 <p>
999 Somit ist ein IDPS ein sinnvoller Zusatz zum herkömmlichen Paketfilter um intelligente Entscheidungen
1000 über einkommende Daten zu treffen.
1001 </p>
1002 {% else %}
1003 <p>
1004 An Intrusion Dection System (or IDS), is a piece of software designed to detect attacks against computer systems
1005 and networks. Thereby the IDS will analyze the network traffic and search for attack samples. If someone
1006 scans the ports of the IPFire-System to see which services are available, the IDS will immediately notice it.
1007 </p>
1008 <p>
1009 An Intrusion Prevention System (or IPS), in addition to the detection system, will perform actions.
1010 The IPS gets the information from the IDS and reacts accordingly. That means, recalling the example above with
1011 the portscan, the system would automatically block the attacker immediately in order to prevent further inquiries.
1012 </p>
1013 <p>
1014 It is possible to use IDS and IPS on the IPFire system. We call this system "Intrusion Detection
1015 and Prevention System" (or IDPS). A very important deputy of this system is Snort, the free Network Intrusion Dection System
1016 (NIDS). It analyzes the network traffic and if something abnormal happens, it will log the event. IPFire gives you
1017 the possibility to see it very explicitly in the web interface.
1018 </p>
1019 <p>
1020 For automatic prevention, IPFire has an add-on called Guardian which can be installed optionally.
1021 </p>
1022 <p>
1023 An IDPS is a wise addition to the normal packet filter. It makes intelligent decisions about
1024 incoming and outgoing network traffic and how to deal with it.
1025 </p>
1026 {% end %}
1027 </section>
1028
1029 <section id="qos">
1030 <div class="page-header">
1031 <h1>{{ _("Quality of Service") }}</h1>
1032 </div>
1033
1034 {% if lang == "de" %}
1035 <p>
1036 Ein Quality of Service, oder kurz QoS, ist in der Lage die Qualität eines Dienstes über eine
1037 Internetleitung sicherzustellen. Das bedeutet, dass auf einer stark belasteten Internetverbindung
1038 einem Dienst, wie zum Beispiel einem VoIP-Telefonats, ein gewisses Maß an Bandbreite zugesichert
1039 werden kann, damit alle Sprachdaten ohne Verzögerung und verlustfrei übertragen werden können.
1040 Das geht allerdings zu Lasten der anderen Datenströme auf der Leitung, welche es aber durchaus
1041 vertragen, dass Daten langsamer übertragen werden, wie z.B. ein Upload auf einen FTP-Server.
1042 </p>
1043 <p>
1044 Ein QoS bietet aber nicht nur bei Echtzeitdiensten Vorteile und macht sie besser benutzbar, sondern
1045 bringt auch kleine Verbesserungen mit, die sich angenehm bemerkbar machen. Dazu gehören unter anderem:
1046 </p>
1047 <ul>
1048 <li>
1049 <strong>Schnellerer Verbindungsaufbau:</strong> Verbindungen werden immer rasch aufgebaut und
1050 dann nach Dienst eingeordnet und wenn möglich abgebremst. Das verbessert das Arbeitsgefühl.
1051 </li>
1052 <li>
1053 <strong>Stabilere Verbindungen:</strong> da jedem Dienst ein Mindestmaß an Bandbreite zugesichert wird.
1054 </li>
1055 </ul>
1056 <p>
1057 Für die Klassifizierung der Pakete, die das System wissen lässt mit welcher Art von Daten es zu tun hat,
1058 kommt ein Layer-7-Filter zum Einsatz. Dabei wird auch der Inhalt und nicht nur Quell-Ports, -IPs und
1059 Ziel-Ports und -IPs eines Pakets untersucht. Mit dem Wissen, ob es sich z.B. um einen langen Download
1060 oder um ein Echtzeitprotokoll handelt, kann es Entscheidungen zur optimalen Auslastung der
1061 Internetverbindung treffen.
1062 </p>
1063 <p>
1064 Zusammengefasst ist das Endergebnis eines QoS, eine Leitung mit geringer Latenzzeit und geringer
1065 Paketverlustrate. Eine Funktion, die man schnell nicht mehr vermissen möchte, wo die Bandbreite knapp ist.
1066 </p>
1067 <p>
1068 Perfekte Kontrolle über die getätigten Einstellungen, findet man in der graphischen Darstellung der
1069 Leitungsauslastung.
1070 </p>
1071 {% else %}
1072 <p>
1073 Quality of Service (QoS) is able to save the quality of a service on one internet connection. This
1074 means that on a highly-utilized internet connection, a service (for example VoIP) gets a stable size of bandwidth,
1075 to transfer the information without delay and without loss. This is at the expense of the other
1076 data flows on the line, which is tolerated, albeit transmitted more slowly (such as a file upload to an FTP server).
1077 </p>
1078 <p>
1079 QoS does not only increase the functionality of real-time services, but also offers a little bit of overall improvement. For example:
1080 </p>
1081 <ul>
1082 <li>
1083 <strong>Connections establish much faster.</strong>
1084 This is works very well on busy links.
1085 </li>
1086 <li>
1087 <strong>Connections are much more stable.</strong>
1088 Every service gets a minimum, guaranteed amount of bandwidth.
1089 </li>
1090 </ul>
1091 <p>
1092 For the classification of the packets, a Level-7-Filter is used. It also analyses the content, as well as the source-ports/IPs, and destination-ports/IPs of the packets. With that analysis, it will decide if it's a long download or a real-time
1093 protocol and then subsequently determines the optimal use of the connection.
1094 </p>
1095 <p>
1096 To put all in a nutshell, QoS reduces the latency and packet loss of an
1097 internet connection. This is certainly a function that you don't want to miss where bandwidth is limited.
1098 </p>
1099 {% end %}
1100 </section>
1101
1102 <section id="hardware">
1103 <div class="page-header">
1104 <h1>{{ _("Hardware") }}</h1>
1105 </div>
1106
1107 {% if lang == "de" %}
1108 <p>
1109 Da IPFire auf einer aktuellen Version des Linux Kernels basiert, ist es möglich
1110 eine Breite Palette an neuer Hardware, wie 10-Gigabit-Netzwerkkarten und
1111 Wireless-Hardware, ohne zusätzlichen Aufwand zu betreiben.
1112 Den Entwicklern ist es ein Anliegen, IPFire auf einer möglichst breiten Palette von
1113 Hardware lauffähig zu machen. Dadurch lässt sich IPFire auf alter, günster Hardware
1114 genauso hervoragend verwenden, wie auf High-Performance-Systemen.
1115 </p>
1116 <p>
1117 Dabei belaufen sich die Mindestanforderungen bei einem Pentium I (i568), 128MB RAM
1118 und 2 GB Festplattenspeicher.
1119 </p>
1120 <p>
1121 Einige Erweiterungen haben zuätzliche Anforderungen an die Hardware um korrekt
1122 funktionieren zu können. Ein System welches alle Anforderungen erfüllt, ist in der
1123 Lage hunderte Clients zur selben Zeit zu bedienen.
1124 </p>
1125 <h3>Heads up: Zusätzliche Architekturen in Entwicklung</h3>
1126 <p>
1127 Das IPFire Projekt ist auch interessiert Ressorcen schonende Systeme zu unterstützen.
1128 In diesem Zusammenhang, ist die ARM Architektur erwähnenswert, welche äußerst wenig Strom
1129 benötigt und ein großes Zukunftspotential aufweist.
1130 </p>
1131 <!-- <p>
1132 Mehr zu diesem Thema kann auf der <a href="/features/ports/arm">ARM Projekt Seite</a> gefunden
1133 werden.
1134 </p> -->
1135 {% else %}
1136 <p>
1137 Since IPFire is based on a recent version of the Linux kernel, it supports most
1138 of the latest hardware such as 10Gbit network cards and a variety of wireless
1139 hardware out of the box.
1140 The IPFire developers are very concerned with the ability to run IPFire as many
1141 system variations as possible.
1142 This helps IPFire to run on older or cheap hardware, as well as high-performance systems.
1143 </p>
1144 <p>
1145 Minimum system requirements are an Intel Pentium I (i586),
1146 128MB RAM and 2GB hard drive space.
1147 </p>
1148 <p>
1149 Some add-ons have extra requirements to perform smoothly.
1150 On a system that fits the hardware requirements, IPFire
1151 is able to serve hundreds of clients simultaneously.
1152 </p>
1153
1154 <h3>Heads up: More architectures in development!</h3>
1155 <p>
1156 The IPFire project is always interested in creating systems
1157 which save the environment. The ARM architecture consumes
1158 much less power and certainly has a lot of potential.
1159 </p>
1160 <!-- <p>
1161 More about this may be found on the
1162 <a href="/features/ports/arm">ARM project page</a>.
1163 </p> -->
1164 {% end %}
1165
1166 <hr class="separator">
1167
1168 <div class="row">
1169 <div class="col-lg-3 col-md-3">
1170 <a class="thumbnail" href="{{ static_url("images/screenshots/en/hardware/hwtemp-1.png") }}">
1171 <img src="{{ static_url("images/screenshots/en/hardware/hwtemp-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
1172 </a>
1173 </div>
1174 </div>
1175 </section>
1176
1177 <section id="virtualization">
1178 <div class="page-header">
1179 <h1>{{ _("Virtualization") }}</h1>
1180 </div>
1181
1182 {% if lang == "de" %}
1183 <p>
1184 IPFire bringt einige Frontend-Treiber für High-Performance-Virtualisierung
1185 mit sich und arbeitet hervorragend als Gast auf den folgenden
1186 Virtualisierungsplattformen.
1187 </p>
1188
1189 <h2>Unterstützte Hypervisoren</h2>
1190 <h3>KVM</h3>
1191 <p>
1192 <a href="http://www.linux-kvm.org">KVM</a> ist die Abkürzung
1193 für Kernel-based Virtual Machine und wird von
1194 <a href="http://www.redhat.com">Red Hat Inc.</a> entwickelt.
1195 Es ist die derzeit am häufigsten eingesetzte, freie Virtualisierungslösung
1196 und löst Xen zunehmend ab.
1197 </p>
1198 <p>
1199 Der IPFire-Kernel verfügt über die <em>virtio</em> Module,
1200 welche hervorragende Leistung bei wenig Virtualisierungsoverhead
1201 bieten.
1202 </p>
1203
1204 <h3>VMware</h3>
1205 <p>
1206 IPFire arbeitet auf verschiedenen VMware Produkten wie
1207 <em>vSphere</em>, <em>ESXi</em> und <em>VMware workstation</em>.
1208 Das optionale Paket <em>open-vm-tools</em> verbessert die
1209 Integration zusätzlich.
1210 </p>
1211
1212 <h3>Xen</h3>
1213 <p>
1214 Xen war der de-facto Open-Source-Hypervisor, wird
1215 allerdings immer öfter durch KVM ersetzt.
1216 </p>
1217 <p>
1218 IPFire bringt für den Einsatz auf einem Xen-Host einen
1219 paravirtualisierten Kernel mit.
1220 Die Installation ist sehr einfach, da bereits ein
1221 vorinstalliertes Image auf der Downloadseite heruntergeladen
1222 werden kann.
1223 </p>
1224
1225 <h3>Andere</h3>
1226 <p>
1227 IPFire ist nicht auf die oben genannten Lösungen beschränkt.
1228 Ebenso läuft die Distribution auch unter <em>Qemu</em>,
1229 <em>Microsoft Hyper-V</em> und <em>Oracle Virtualbox</em>.
1230 </p>
1231
1232 <h3>Ein Hinweis zu Virtualisierung</h3>
1233 <p>
1234 Virtualisierung hat Vorteile, allerdings nicht ohne Nachteile.
1235 Es besteht die Möglichkeit, dass die VM-Container-Sicherheit
1236 umgangen werden kann und somit ein Angreifer Zugang über die
1237 virtuelle Maschine heraus erlangen kann.
1238 Aus diesen Gründen empfehlen wir nicht IPFire virtuell
1239 in produktiven Umgebungen einzusetzen.
1240 </p>
1241 {% else %}
1242 <p>
1243 IPFire brings many front-end drivers for high-performance virtualization
1244 and can be run as virtual guest operating system on the following
1245 virtualization platforms.
1246 It has also been optimized to some of the mostly distributed ones to bring
1247 the best possible performance without impacting the hardware very much.
1248 </p>
1249
1250 <h2>Supported hypervisors</h2>
1251 <h3>KVM</h3>
1252 <p>
1253 <a href="http://www.linux-kvm.org">KVM</a> is short for
1254 Kernel-based Virtual Machine and is developed by
1255 <a href="http://www.redhat.com">Red Hat Inc.</a>.
1256 It is becoming the most advanced hypervisor and succeeding Xen, which
1257 has been used so far.
1258 </p>
1259 <p>
1260 IPFire is coming with the <em>virtio</em> kernel modules, that have best
1261 performance due to very less virtualization overhead.
1262 </p>
1263
1264 <h3>VMware</h3>
1265 <p>
1266 IPFire runs on different VMware products like <em>vSphere</em>,
1267 <em>ESXi</em> and <em>VMware workstation</em>. The additional package
1268 <em>open-vm-tools</em> offers tools for a better integration.
1269 </p>
1270
1271 <h3>Xen</h3>
1272 <p>
1273 Xen has recently been the de-facto Open Source hypervisor but is now
1274 succeeded by KVM.
1275 </p>
1276 <p>
1277 IPFire can optionally be run with a paravirtualized kernel, which has very
1278 less virtualization overhead as well. To make the installation very easy,
1279 a pregenerated Xen image can be downloaded from the download page.
1280 </p>
1281
1282 <h3>Others</h2>
1283 <p>
1284 IPFire is not limited to the hypervisors described above. It runs perfectly on
1285 <em>Qemu</em>, <em>Microsoft Hyper-V</em> or <em>Oracle VirtualBox</em>, too.
1286 </p>
1287
1288 <h3>A note on virtualization</h3>
1289 <p>
1290 Virtualization does have advantages, but it is not without disadavantages.
1291 There is always the possibility that the VM container security can be
1292 bypassed in some way and a hacker can gain access beyond the VM.
1293 Because of this, it is not suggested to use IPFire as a virtual machine
1294 in a production-level environment.
1295 </p>
1296 {% end %}
1297
1298 <hr class="separator">
1299
1300 <div class="row">
1301 <div class="col-lg-3 col-md-3">
1302 <a class="thumbnail" href="{{ static_url("images/screenshots/en/virtualization/virt-manager-1.png") }}">
1303 <img src="{{ static_url("images/screenshots/en/virtualization/virt-manager-1_thumb.png") }}" alt="{{ _("Screenshot") }}">
1304 </a>
1305 </div>
1306 </div>
1307 </section>
1308
1309 <section id="wlanap">
1310 <div class="page-header">
1311 <h1>{{ _("Wireless Access Point") }}</h1>
1312 </div>
1313
1314 {% if lang == "de" %}
1315 <p>
1316 IPFire bietet mehrere Möglichkeiten zur Einbindung von Wireless-Clients. Zum einen kann ein
1317 Accesspoint über eine LAN Karte angeschlossen werden. Hier bietet IPFire einen MAC/IP Addressfilter,
1318 um nur erlaubte Clients zuzulassen. Die Clients dürfen in der Standardeinstellung zwar ins Internet,
1319 aber nicht auf das lokale Lan zugreifen. Als zweite Möglichkeit kann man eine WLAN-Karte in den IPFire
1320 einbauen, die über das Addon “hostapd” Funktionalität des Accesspoints übernimmt. Unterstützt werden
1321 dann unverschlüsselte sowie WPA/WPA2 verschlüsselte Verbindungen. Auch die Nutzung des 5 GHz Bandes
1322 (802.11a) ist möglich, wenn die WLAN-Karte dies unterstützt.
1323 </p>
1324 <p>
1325 Die Unterstützung von Wireless-Karten in IPFire ist exzellent, da in dem stabilen Kernel die Treiber
1326 trotzdem auf neuestem Stand sind und somit möglichst viele Karten unterstützt werden.
1327 </p>
1328 {% else %}
1329 <p>
1330 IPFire offers several options for the integration of wireless clients. First, an access point can
1331 be connected via a LAN card. In this scenario, IPFire offers MAC/IP address filtering to allow only authorized
1332 clients. The clients are allowed by default to access the Internet, but they are not allowed access the local LAN.
1333 The second option is to install a wireless LAN (WLAN) card in the IPFire machine that takes the functionality of the access
1334 point over, using the add-on "hostapd". This add-on supports both unencrypted and WPA/WPA2-encrypted connections. Also
1335 the use of 5 GHz (802.11a standard) is possible if the wireless card supports it.
1336 </p>
1337 <p>
1338 Wireless card support in IPFire is excellent. The drivers in the stable kernel are very up-to-date
1339 and IPFire therefore supports a significant amount of WLAN cards.
1340 </p>
1341 {% end %}
1342 </section>
1343 </div>
1344
1345 <div class="col-lg-3 col-md-3 sidebar">
1346 <ul class="nav nav-list sidenav">
1347 <li>
1348 <a href="#about">
1349 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("About IPFire") }}
1350 </a>
1351 </li>
1352 <li>
1353 <a href="#security">
1354 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Security") }}
1355 </a>
1356 </li>
1357 <li>
1358 <a href="#firewall">
1359 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Firewall") }}
1360 </a>
1361 </li>
1362 <li>
1363 <a href="#pakfire">
1364 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Pakfire") }}
1365 </a>
1366 </li>
1367 <li>
1368 <a href="#updates">
1369 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Updates") }}
1370 </a>
1371 </li>
1372 <li>
1373 <a href="#dialup">
1374 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Dialup") }}
1375 </a>
1376 </li>
1377 <li>
1378 <a href="#proxy">
1379 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Web Proxy") }}
1380 </a>
1381 </li>
1382 <li>
1383 <a href="#vpn">
1384 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("VPN") }}
1385 </a>
1386 </li>
1387 <li>
1388 <a href="#ids">
1389 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Intrusion Detection") }}
1390 </a>
1391 </li>
1392 <li>
1393 <a href="#qos">
1394 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Quality of Service") }}
1395 </a>
1396 </li>
1397 <li>
1398 <a href="#hardware">
1399 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Hardware") }}
1400 </a>
1401 </li>
1402 <li>
1403 <a href="#virtualization">
1404 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Virtualization") }}
1405 </a>
1406 </li>
1407 <li>
1408 <a href="#wlanap">
1409 <i class="glyphicon glyphicon-chevron-left"></i> {{ _("Wireless Access Point") }}
1410 </a>
1411 </li>
1412 </ul>
1413 </div>
1414 </div>
1415 {% end block %}
The website of ipfire.org.