Hardwaretest: Sophos Firewall mit UTM 9.4

Kräftiger Schutzwall

10. Oktober 2016, 8:00 Uhr | Von Thomas Bär und Frank-Michael Schlede.

Steht dem Administrator nur ein kleineres Budget für ein Projekt zur Verfügung oder ist der Bedarf einer Dependance in Bezug auf die Leistungsdaten einer Firewall nicht ganz so hoch: Firewalls im "Desktop"-Formfaktor bieten dann heute fast alle Features ihrer großen Verwandten, wie die SG 125w von Sophos eindrucksvoll unter Beweis stellt.

Seit Jahren hat die klassische Port-Firewall ausgedient und das Feld den neueren Modellen der "Next Generation" überlassen. Es ist beinahe so, als ob AVM mit dem "All in One"-Fritzbox-Design doch recht behalten hätte, denn eine professionelle Appliance wie die hier betrachtete SG 125w von Sophos fasst ebenfalls alle Features in einem einzigen Gerät zusammen.

Doch im Vergleich zu einer einfachen Fritzbox, die die Bedürfnisse eines Privatanwenders bestens abdeckt, richtet sich Sophos an den Profianwender, der genauen Einfluss auf die Internetanbindung nehmen möchte, eine VPN-Site-to-Site-Verbindung aufbaut, Web-Server absichert oder sich um die E-Mail-Sicherheit sorgt. "Unified-Threat-Management" (UTM) - so nennen die Branche und Sophos das Umfeld dieser Geräteklasse.

ll_sophos_sg125w_2016_b01-2
Praktisch: Der Installationsassistent von Sophos richtet die Appliance ein.

Was darf der Administrator von dem kompakten, gerade einmal 288×187×44 mm kleinen weißen Kasten auf einer Höheneinheit erwarten? Bei einer Leistungsaufnahme von lediglich 26,16 Watt unter Volllast und 12,46 Watt im Leerlauf (gemäß Herstellerangaben) liefert die aktuelle Multicore-Intel-Hardware im Inneren durchaus gute Leistungswerte. Den VPN-Durchsatz gibt Sophos mit 500 MBit/s an, den IPS-Durchsatz mit 750 MBit/s und die Antivirus-Scan-Funktionalität im Proxy-Modus mit maximal 200 MBit/s.

Den Gesamtdurchsatz pro Sekunde der Firewall beziffert der Hersteller mit 3,1 GBit/s. Die Box verfügt über etliche Anschlüsse: zwei USB-Ports, acht Ethernet-NICs in 1-GBit-Ausführung, einen VGA-Anschluss für den Monitor und einen seriellen COM-Port als RJ45-Buchse. Drei externe Antennen, MIMO 3×3:3, leuchten das WLAN in den Frequenzbändern 2,4 und 5,0 GHz gemäß den Standards 802.11a/b/g/n/ac aus.

Nach der Vergabe des Administrationskennworts und einem etwa 60 Sekunden dauernden Schnellstart mit Neuanmeldung am Web-Interface zeigt sich ein schlichter Konfigurationsdialog mit einigen wenigen Fragen wie: "Soll diese Appliance aus einer Sicherung wiedergestellt werden?" oder "Wo befinden sich die Lizenzdateien?". Ohne Letztere wechselt die UTM-Box in den 30-Tage-Testmodus mit allen Optionen. Es folgen die IP-Vergabe, auf Wunsch die Aktivierung des DHCP-Services - hier leider noch ohne Optionen - und die Definition der Internet-Anbindung per WAN-Standard Ethernet, DSL mit PPPoE oder DSL mit PPPoA.

ll_sophos_sg125w_2016_b02-2
Die Zusammenfassung im Dashboad zeigt alle wichtigen Eckdaten auf einen Blick.

Interessanterweise zeigt die LED der WAN-Schnittstelle bis zur Konfiguration nicht einmal den Link an. Wir waren uns im Test zunächst daher nicht sicher, ob die NIC oder das Kabel defekt ist.

Problemlose Erstkonfiguration

Was uns im Test sehr gut gefiel, war der Wizard-Dialog zu den zugelassenen Diensten - diese kann der Administrator ganz schlicht per Checkbox einschalten, ohne sich schon jetzt mit Port-Adressen und Protokollen herumplagen zu müssen. Die Auswahl der typischen Verdächtigen besteht aus Web (HTTP/HTTPS), File Transfer (FTP), Terminal Services (Citrix, RDP, Apple Remote Desktop, SSH und Telnet), E-Mail (SMTP/POP3/IMAP4), ausgehenden DNS-Anfragen und einem extra abgesetzten Block für Reaktionen auf Ping/Echo-Requests mit dem Hinweis, eine Deaktivierung sei zu empfehlen.

Danach folgen Dialoge zur Aktivierung der eingebauten Intrusion Detection/Prevention, Virus-Scan auf Web-Seiten und das gezielte Blocken von Web-Seiten mit spezifischem Inhalt wie Spiele oder Erotik. Der Web-Content-Block funktioniert erwartungsgemäß nur, wenn die Appliance auch als Proxy-Server für das Netzwerk fungiert.

ll_sophos_sg125w_2016_b03-2
Einfacher geht es kaum: Der HTML5-VPN-Client erfordert auf der Client-Seite keine Konfiguration und Installation mehr.

Angeschlossen hinter einem bereits vorhandenen Kabelmodem mit Router war die Appliance innerhalb von 20 Minuten konfiguriert und einsetzbar. Die Bedienung ist weitgehend selbsterklärend, die Menüstruktur insgesamt logisch aufgebaut und die FAQ-Hilfetexte auf der Website von Sophos sind nützlich.

Bereits zur CeBIT 2016 stellte der Anbieter die sogenannte "Sophos Sandstorm-Technologie" vor, die in allen neueren UTM-Versionen - somit auch in der von uns betrachteten 9.4 - enthalten ist. Mit Sandstorm will Sophos im Bereich der E-Mail- und Download-Sicherheit wieder ganz vorn dabei sein. Sophos Sandstorm richtet sich besonders gegen Advanced Persistent Threats (APTs) und Zero-Day Malware. Es ist ein Sandboxing-Verfahren, das Dateien in einer isolierten Umgebung automatisiert öffnet und das Verhalten analysiert.

Wie alle Verfahren, die ohne klassische Signaturen bei der Erkennung von Gefahren arbeiten, steht Sophos vor der Herausforderung der aufwändigen technischen Umsetzung. Sandstorm nutzt zur Erkennung von polymorphen Schädlingen nicht die internen Ressourcen, die mit 64 GByte SSD, 4 GByte RAM und Intel Atom Rangeley Dual Core mit 1,7 GHz Taktfrequenz auch eher zu leistungsschwach ausfallen würden. Sophos übermittelt die Daten über gesicherte Kanäle zu einem Service-Center, nutzt also einen Cloud-basierenden Ansatz.

Die Appliances identifizieren bekannte Dateianhänge anhand des Hash-Werts. Ist dieser bekannt und ist klar, dass dieser Anhang ungefährlich ist, läuft die Nachricht weiter. Unbekannte Anhänge leitet Sandstorm in das Sophos-Rechenzentrum weiter und dort erfolgt eine Prüfung der bisher nicht näher identifizierten Datei auf ihr Schadverhalten. Der Hersteller kann potenzielle Gefahren in unterschiedlichen Betriebssystemkonstellationen entdecken. Dazu gehören neben Microsoft Windows auch Apples OS X sowie Android als Mobilplattform.

ll_sophos_sg125w_2016_b04-2
Neuerung mit UTM 9.4: Das Sandboxing-Verfahren Sandstorm bietet eine zusätzliche Schutzfunktion.

Laut Hersteller dienen dazu verschiedene physische und virtuelle Host-Rechner, unterschiedliche Netzwerke, Web-Mail-Verfahren und diverse mobile und lokale Anwendungen, etwa für Word- und PDF-Dokumente sowie 40 weitere Datei- und Archivformate. Sophos Sandstorm ist als Abonnement grundsätzlich für die Sophos E-Mail Appliance 4.0 erhältlich und kommt als Option für die Sophos Web Appliances und UTM-Firewalls.

Mit Sandstorm folgt Sophos einem aktuellen Markttrend. Auch andere Anbieter prüfen Dateien in ihren Rechenzentren, was aus der Betrachtungsweise der Sicherheitsexperten ein guter Weg ist. Sandbox-Verfahren als Cloud-Service sind insbesondere für kleine Kunden, die über keine eigene leistungsstarke Hypervisor-Umgebung verfügen, ein probates Mittel, um Schadsoftware abzuwehren. Dennoch bleibt die Frage nach der Sensibilität der Daten: Was heruntergeladen wird oder per Anhang in das Unternehmen kommt, darüber weiß der Sandbox-Anbieter künftig sehr genau Bescheid. Daher ist eine gute Beziehung zwischen Kunden und Anbieter eine Grundvoraussetzung. Zudem muss der Kunde darauf vertrauen, dass der Anbieter die überprüften Dateien auch tatsächlich wieder löscht. Jeder Administrator geht allerdings davon aus, dass keine Dateien zurückbleiben, wenn eine E-Mail als Byte-Strom über verschiedene Router durch das Internet geschickt wird - eine Garantie dafür gibt es jedenfalls auch in diesem Fall nicht.

Welche Datacenter Sophos im Hintergrund nutzt, hängt von den DNS-Einstellungen des Forwarders der Appliance ab, so eine Internet-Recherche. Europäische DNS-Forwarder sorgen für die Verarbeitung in einem Rechenzentrum in Europa. Wer die US-amerikanischen DNS-Forwarder von Google nutzt (8.8.8.8), landet in einem Datacenter in den USA. Die mittlere Verarbeitungszeit für die Sandstorm-Prüfung gibt der Hersteller mit fünf bis zehn Minuten an. Praxistests zeigten, dass dies auch länger dauern kann.

Die 125er-Serie positioniert Sophos im KMU-Umfeld, wo sie wohl nicht in einem "richtigen" RZ arbeiten. Dies schlägt sich auch in der kaum wahrnehmbaren Geräuschkulisse nieder. Wie schon erwähnt, sind Aufbau und erste Grundkonfiguration schnell und einfach erledigt. Im Test schlug sich die kleine UTM-Appliance sehr gut. Geprüfte Web-Kategorien passten und wurden von der Software im Proxy-Modus konsequent ausgebremst. Erwartungsgemäß konnte auch der Virenschutz die bewusst zum Transfer anvisierten digitalen Plagegeister identifizieren und verhinderte den Download. Einen umfassenden Scan von außen mit einer aktuellen Nexpose-Installation ließ die Box unbeeindruckt über sich ergehen und ermittelte zu unserer Überraschung zehn verschiedene Schwachstellen. Diese stellten sich jedoch sehr schnell als Auffälligkeiten im Zusammenhang mit unserem fehlenden offiziellen Zertifikat heraus.

Für professionelle Einsätze geschaffen

Auch sonst bietet die kleine Appliance alles, was sich ein Administrator von einer professionellen UTM wünscht: Definierbare Netzwerkbereiche mit DMZ, SNMP-Verwaltung, eingebaute Aktualisierungsfunktion, integrierte automatische Backup-Funktion mit Statusbericht-Versand, auch an externe E-Mail-Empfänger. Die Oberfläche des "User Portals" für den Zugriff ist mit wenigen Einstellungen durch den Administrator an das Corporate-Design anpassbar. Für die Verwaltung mehrerer UTM-Installationen bietet Sophos mit SUM (Sophos UTM Manager) eine zentrale Management-Software mit objektorientierter Konfiguration zur Automatisierung sowie mit übergreifenden Statistiken und Reports. Das Beste daran: SUM ist kostenfrei.

Im Zusammenspiel mit VPN-Verfahren anderer Hersteller wird sich Sophos dank dem IPSec-Standard als guter Teamspieler herausstellen. Aber auch ohne das Ausbringen einer Client-Software können Administratoren per HTML5-VPN-Funktion mit wenigen Mausklicks einen sicheren Zugang ins Netzwerk aufbauen.

Gern auch für Zuhause

Insbesondere die Featureliste von Sophos macht die Geräte auch für den heimischen Gebrauch überaus interessant. In diesem Fall muss der technisch versierte Anwender nicht einmal tiefer in die Tasche greifen, denn die Sophos XG Firewall in der Home Edition mit URL-Filtering, Applikationsüberwachung, IPS, Traffic-Shaping, VPN-Zugriffe nebst Reporting und Monitoring ist für den heimischen Bedarf kostenfrei verfügbar (siehe goo.gl/V14tjB). Ein weiteres, ebenfalls kostenfreies Produkt ist die "Sophos UTM Home Edition" - alle Funktionen der UTM-Serie für maximal 50 IP-Adressen.

Fazit

Mit rund 950 Euro für die blanke Appliance und zusätzliche rund 600 Euro für die notwendigen Lizenzen ist die Sophos SG 125w in puncto Preis eher ein "Leichtgewicht", was sich beim Funktionsumfang jedoch nicht zeigt: Die UTM-Serie bietet alle notwendigen Features, und die kleine Box liefert ausreichend Rechenleistung, um kleinere Standorte oder Dependancen anzubinden. Im Vollausbau mit zwölf Monaten Fullguard-Subskription und Sandstorm-Sicherheit kostet die Appliance in der betrachteten Version knapp unter 2.000 Euro.

Info
Info: Sophos
Tel.: 0800/2782761
Web: www.sophos.com/de-de.aspx
Thomas Bär und Frank-Michael Schlede.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Facebook

Weitere Artikel zu General Electric Dtl. Holding GmbH

Weitere Artikel zu BullGuard Germany GmbH

Matchmaker+