simple security policy editor

sspe ist bei einem Outsourcing-Unternehmen als schnelle und kostengünstige Lösung entstanden, um die Administration von einigen Dutzend Linux-Maschinen als Server, Firewall und VPN-Gateways bequem, zentral und einfach zu gestalten. Das Werkzeug ist ausschließlich wegen der praktischen Anforderungen programmiert worden und hat auch nur praktischen Nutzen als Ziel. Wenn viele Geräte administriert werden sollen, steht Konsistenz und Bequemlichkeit an oberster Stelle der auf der Anforderungsliste.

Mithilfe von einfachen ASCII-Dateien, die Definitionen und Regeln enthalten, wird in Abhängigkeit von den jeweiligen Geräte-Konfiguration ein Satz iptables-Kommandos als Shellscript erzeugt und verteilt. Einzelne Geräte können als IPsec-Gateway eine Standort-Vernetzung herstellen, volle Vermaschung garantiert kürzeste und damit schnellste Verbindungen übers Internet.

sspe ist seit Anfang 2002 an mehreren Stellen im Einsatz, der Verzicht auf ein GUI als Administrationsoberfläche kommt der Flexibilität und Transparenz zugute. Der Administrator muß nur einige ASCII-Dateien mit dem Editor seiner Wahl bearbeiten und anschließend in einem 'Dialog'-Menu die Verteilung anstossen und beobachten. Voraussetzung ist automatische ssh-Authentisierung mittels Keys, sowohl die iptables-Scripts als auch die FreeSwan-Konfig werden per ssh auf die Zielmaschinen verteilt.

Eine weitgehend vollständige Dokumentation wird mittels Shell-Scripts in LaTeX erzeugt, das resultierende PDF kann archiviert und gedruckt werden, um auch anderen Administratoren den Einstieg und die Übersicht zu ermöglichen.

Mit einer einfachen Erweiterung durch Shell-Scripts ist mit mehreren ISPs auch hochverfügbares VPN machbar. Die Erfahrung mit dem Werkzeug macht neugierig auf die zukünftigen Entwicklungen für andere Plattformen, Access-Listen in Cisco-Routern waren angedacht, BSD und Solaris Filtermechanismen sind ebenso denkbar wie erwünscht. Weitere Entwickler ebenso.