Test: High-Availability-Firewall von Telco Tech

Doppelt gemauert

5. Mai 2005, 23:06 Uhr | Götz Güttich /wj Dr. Götz Güttich ist freier Journalist in Düsseldorf.

Telco Tech hat den Funktionsumfang seiner Firewall-Produkte um ein Hochverfügbarkeits-Feature erweitert. Damit lassen sich jetzt zwei Appliances über ein serielles Kabel verbinden, um so auf einfache Art und Weise einen redundanten Firewall-Cluster aufzubauen. Da der Preis für eine Appliance bei 1500 Euro beginnt, ist diese Lösung preislich deutlich attraktiver als die meisten anderen Angebote im Markt.

Für unserenTest stellte uns Telco Tech zwei Mirco-Liss-II-FL320-Appliances zur Verfügung. Dabei
handelt es sich um Geräte mit jeweils drei Netzwerkanschlüssen, die im Bridge-Modus arbeiteten. Zur
Inbetriebnahme des Firewall-Clusters empfiehlt der Hersteller, zunächst eine der Appliances zu
konfigurieren und dann die fertige Konfiguration auf die andere Appliance zu übertragen. Im Betrieb
laufen die beiden Lösungen anschließend in einer Active/Passive-Konstellation, also mit einem
Standby-Gerät.

Die Erstkonfiguration der Lösung kann entweder über die Default-IP-Adresse 192.168.1.1 oder über
eine serielle Verbindung erfolgen. Für den zweiten Weg liefert Telco Tech eine Diskette mit, die
das Windows-Programm "Hyper Terminal" und eine Datei mit den nötigen Zugangsparametern für den
seriellen Port enthält. Im Test prüften wir beide Varianten, und es kam dabei zu keinen
Schwierigkeiten.

Hardwareschreibschutz

Eine Besonderheit der Telco-Tech-Geräte ist der integrierte Hardwareschreibschutz (Siehe hierzu
auch den Test des Liss Secure Gateways in der LANline 2/2004 auf Seite 16). Die Appliances verfügen
über ein eingebautes Schloss. Änderungen an der Konfiguration lassen sich nur dann abspeichern,
wenn der Administrator dieses Schloss manuell aufschließt. Auf diese Weise verhindert der
Hersteller effektiv Manipulationen durch nicht autorisierte Personen, die keinen physikalischen
Zugang zur Firewall haben.

Nach dem Aufschließen der Lösung und dem Login über das Default-Zugangskonto "liss" mit dem
Passwort "start" wird der Administrator zunächst gezwungen, ein neues Passwort zu vergeben. Diese
Methode ist sehr sinnvoll, verhindert sie doch, dass Appliances mit Standardpasswörtern im Netz "
herumgeistern". Hat der Verantwortliche das Kennwort geändert und sich neu eingeloggt, erscheint
das Konfigurationsmenü, das in eine übersichtliche Menüstruktur unterteilt wurde.

Der Punkt "Interfaces" ermöglicht die Vergabe von IP-Adressen und anderen
Konfigurationsparametern für die Netzwerkschnittstellen. Im Test konfigurierten wir eine interne
LAN- und eine externe PPPoE-Client-Verbindung (PPP over Ethernet) für unseren DSL-Anschluss. Leider
funktionierte die Verbindungsaufnahme mit dem Internet auf diese Weise nicht. Die Ursache für
dieses Problem ließ sich nicht herausfinden, auch der Support des Herstellers konnte nicht
weiterhelfen. Es besteht die Vermutung, dass die Telco-Tech-Software, die zwar Arcor- und
T-Online-DSL-Verbindungen unterstützt, nicht richtig mit unserem Tiscali-Anschluss
zusammenarbeitete. Daher stellten wir den Internet-Zugang über einen Bintec-Router her und
platzierten den Firewall-Cluster davor. In dieser Konfiguration konnten wir dann auf das Netz
zugreifen.

Das Problem mit dem Tiscali-Anschluss ist auf jeden Fall nicht negativ zu werten, da es wohl in
der Praxis kaum einen Anwender geben wird, der einen Firewall-Cluster an einem entsprechenden
DSL-Anschluss betreiben will.

Im nächsten Schritt ging es dann an die Erstellung der Firewall-Regeln. Hierbei kann es leicht
passieren, dass ein unbedarfter Administrator sich wegen einer fehlerhaften Regeldefinition selbst
den Zugriff auf die Firewall untersagt. Solch ein Fehler ist äußerst ärgerlich, denn danach helfen
nur ein Facorty-Reset und eine komplette Neukonfigurierung des ganzen Systems. Deshalb hat Telco
Tech eine nützliche Funktion in das Web-Interface integriert: Alle Änderungen an den Regeln müssen
vom Administrator nochmals bestätigt werden. Bleibt diese Bestätigung aus, geht die Firewall davon
aus, dass sich der Verantwortliche selbst ausgesperrt hat, und setzt nach kurzer Zeit das Regelwerk
auf den Zustand vor der letzten Änderung zurück.

Abgesehen von der Firewall-Funktionalität unterstützt die Appliance noch Port-Forwarding,
statische Routen, VPN-Verbindungen und einen Application-Level-Gateway. Darüber hinaus verfügt sie
über ein Intrusion-Detection-System und eine Bandbreiten-Management-Funktion. Ein Menüpunkt namens "
Einstellungen" dient zur Administration der Benutzer (hier lassen sich unterschiedliche Konten mit
verschiedenen Berechtigungen zum Zugriff auf die Firewall definieren) sowie zur Konfiguration der
Systemzeit und der Zusammenarbeit mit DynDNS-Diensten (hier unterstützt die Lösung DynDNS, dhs,
dyns, easydyns, ezip, heipv6tb, hn, justlinux, ods, pgpow, tzo und zoneedit). Unter "Verwaltung"
starten die Verantwortlichen die Firewall-Dienste (Firewall, IPSec, Application-Level-Gateway,
Bandbreitenmanagement, DNS- und DHCP-Server sowie das Intrusion-Detection-System) und führen die
Firmware-Updates durch. Ein Punkt zum Anzeigen der Log-Dateien schließt das
Konfigurations-Interface ab.

Cluster für den Failover-Einsatz

Nach dem Abschluss der Konfiguration kommt das zweite Gerät ins Spiel, das die gleiche
Firmware-Version wie das erste haben muss. Es ist zunächst erforderlich, die Failover-Lösung genau
wie die erste Appliance mit dem Netzwerk zu verbinden. Zusätzlich kommt noch ein serielles Kabel
zum Einsatz, das die beiden Produkte direkt zusammenkoppelt. Nach dem Anschluss aller
erforderlichen Komponenten kann der Verantwortliche unter "Interfaces/General" den Punkt "Failover"
aktivieren und das zweite Gerät hochfahren.

Hält er während des Boot-Vorgangs den Reset-Taster der zweiten Appliance gedrückt, so beschafft
sie sich gleich die Konfiguration des Masters. Alternativ lassen sich die beiden Systeme über "
Verwaltung/Failover" synchronisieren. Damit ist jedoch nicht zwangsläufig alles getan: Im Betrieb
muss die Synchronisation nach jeder Konfigurationsänderung wiederholt werden.

Nach der Synchronisation zeigt die Master-LED den Systemzustand an und erleichtert die Diagnose.
Leuchtet die LED , so ist das jeweilige Gerät aktiv, leuchtet sie nicht, ist es passiv, blinkt sie
schnell, ist die Kommunikation mit dem Cluster-Partner gestört. Blinkt sie langsam, zeigt dies eine
Unterbrechung der Netzwerkverbindung an.

Im Test ergaben sich während des Betriebs keine Probleme, alles lief reibungslos. Stößt der
Administrator ein Firmware-Update an, so aktualisiert der Cluster nacheinander beide
Appliances.

Kommt es zu einer Unterbrechung der Stromzufuhr oder der Netzwerkverbindung der aktiven
Komponente, so übernimmt die bis dahin passive Appliance nach kurzer Zeit ihre Aufgaben. Die
Geschwindigkeit, in der die Übergabe erfolgt, hängt allerdings davon ab, welche Dienste aktiv sind.
Dies kann bisweilen zu gewissen Verzögerungen führen: VPN-Verbindungen etwa muss das passive System
erst einmal wiederherstellen. In diesem Fall kann es sein, dass bis zu eine Minute vergeht, bis
alle Dienste wieder wie vor dem Ausfall arbeiten.

Info: Telco Tech Tel.: 03328/430810 Web: www.telcotech.de


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+