Wie schützen IT-Profis ihr Netz auch vor den akuten Gefahren aus dem Internet? Eine gewöhnliche, rein Port-basierende Firewall kann das nicht schaffen. Moderne UTM-Lösungen sind häufig teuer und schwer zu administrieren. Der Test stellt eine Lösung vor, die diese Nachteile nicht aufweist und unter anderem daher überzeugen konnte.

 

Administratoren, die ihre Systeme gegen aktuelle Bedrohungen absichern wollen, müssen zu modernen Geräten greifen, die einen UTM-Ansatz (Unified Threat Management) umsetzen und so vor allen Eventualitäten schützen. Leider sind solche Geräte häufig sehr teuer und zudem schwer zu administrieren. Es gibt jedoch Ausnahmen: Aus diesem Grund stellen wir in der Toolbox ausnahmsweise einmal eine Hardwarelösung vor. Es handelt sich dabei um eine UTM-Lösung, die diese Sicherheitstechnik auch für kleine und mittelständische Firmen bietet.
 
Die meisten IT-Profis werden bei Firewall und UTM-Appliances in der Regel zunächst an Firmen wie Checkpoint, Watchguard oder Juniper denken und die ursprünglich aus Indien kommende Firma Cyperoam eher nicht in ihre Überlegungen einbeziehen. Die Gartner-Analysten sehen hingegen diesen Hersteller gleichauf mit bekannten Anbietern wie Astaro, der erst kürzlich von Sophos übernommen wurde. Wir haben uns wir diesen Test das Einstiegsmodell Cyberoam CR15wi unter die Lupe genommen, das der deutsche Distributor Intellicomp für rund 700 Euro anbietet.
 
Die Features des Geräts zeigen deutlich, dass es nicht für den Einsatz im SOHO-Umfeld, sondern für Unternehmen gedacht ist. So ist es beispielsweise für Windows-Administratoren besonders praktisch, dass die Geräte grundsätzlich die Integration in Verzeichnisdienste wie Microsofts Active Directory bieten. Dies vereinfacht dem Systemverwalter die Bereitstellung einer solchen Lösung deutlich, da er so keine weitere separate Benutzerverwaltung betreiben muss. Weiterhin gehören neben der integrierten VLAN-Unterstützung auch ein dynamisches Routing, Multicast Forwarding und ein äußerst weitreichendes Logging und Reporting, das auf Wunsch eine Auswertung nur nach vorgeschaltetem, passwortgeschütztem Vier-Augen-Prinzip zulässt, zu den professionellen Merkmalen des Produkts.
 
Weiterhin sind alle Systeme des indischen Herstellers bereits heute für den Einsatz in IPv6-Netzwerken konzipiert. Zu den weiteren Funktionen und Features des Systems gehören unter anderem:
 
ein Bandbreiten-Management,
 
der zentrale Virenschutz auf Gateway-Ebene,
 
VPN-Anbindung mit SSL VPN und IPsec,
 
Anti-Spy- und Anti-Spam-Funktionen,
 
ein Intrusion-Protection-System (IPS),
 
Inhalts- und Applikationsfilterfunktionen und
 
eine Port-basierende und Stateful Inspection Firewall.
 
Zudem stehen die automatische Aussendung von Informationen per E-Mail, das Anlegen beziehungsweise Einspielen eines Zertifikats zur verschlüsselten SSL/TLS-Verbindung, die Verfügbarkeit von SNMP-Daten auch auf v3-Ebene und entsprechenden Diagnosefunktionen zur Verfügung. Dabei kann der Administrator sowohl auf ein Regelwerk für die Passwortkomplexität als auch auf Merkmale wie Login-Disclaimer-Fenster, Zugriff auf die Cyberoam Central Console mit regelmäßigem Versand eines Keep-Alive-Heartbeat-Pakets der Appliance sowie unterschiedliche Rollen-Profile zurückgreifen.
 
Die Appliance ist innerhalb weniger Minuten aufgebaut und einsatzbereit. Die IP-Adressen der drei integrierten Netzwerkkarten sind vom Hersteller vorgegeben, der Administrator kann sie aber zu einem späteren Zeitpunkt wunschgemäß anpassen. Daher war es für den Test zunächst erforderlich, dem Management-PC eine IP-Adresse aus dem gewünschten Bereich zu geben. Anhand der Kurzanleitung konnten wir uns dann auch über das Web-Interface problemlos anmelden. Allerdings waren die auf dem Infoblatt genannten Login-Daten nach einem ersten Firmware-Wechsel auf eine neuere Version nicht mehr nutzbar. Durch diese Eigenart des Geräts könnten Administratoren, die direkt nach dem ersten Anschließen einen Wechsel auf die neueste Firmware ausführen, möglicherweise eine böse Überraschung erleben. Die Anmeldung mittels zwischenzeitlich angelegter weiterer administrativer Benutzer war allerdings auch nach diesem Update weiterhin möglich – hier hätten wir einen entsprechenden Hinweis in den Kurzanleitungen als nützlich empfunden.
 
Das Web-Interface der Appliance ist insgesamt modern gehalten (Bild 1) und äußerst klar und klassisch gegliedert: Der Anwender findet auf der linken Fensterhälfte das Menü mit den einzelnen Funktionsbereichen und auf der rechten Seite ein horizontal angebrachtes Untermenü sowie den Bereich für die Eingaben. Das Gespann aus 500-MHz-Eden-CPU und Compact Flash-Speicherkarte, das in diesem Gerät verwendet wird, hat bei aufwändigen Einstellungsänderungen mächtig zu arbeiten, sodass es beim Einsatz des Microsoft Internet Explorers während unserer Testphase manchmal zu „Time out“-Fehlermeldungen kam.
 
Mozilla Firefox erwies sich dann als bessere Wahl, denn dieser Browser konnte die Web-Oberfläche der CR15wi stets zügig darstellen. Die Änderungen in der Reihenfolge der Firewall-Regeln konnten wir jedoch auch ohne AJAX problemlos und intuitiv durchführen.
 
Als Schwachpunkt empfanden wir es hingegen, dass die Appliance sehr unsichere Passworte wie „0“ für den Administrator einfach zulässt, wenn nicht zuvor eine Passwortrichtlinie festgelegt wurde – nur die Vergabe überhaupt keines Passworts ist an dieser Stelle stets verhindert. Gut gefielen uns im Test hingegen die vielen praxisnahen Features der Appliance, zu denen beispielsweise die „Failover Rules“ bei der Router-Anbindung gehören. Eine Aussage der Form:
 
„if not able to ping IP Adress ###.###.###.### then shift over to ###.###.###.###“
 
wird wohl jeder Administrator ohne weitere Erklärungen verstehen und anwenden können. Auch die Verwendung der Qualitätsrichtlinien in der Konfiguration, die sich nach „KBps“ pro physischem Anschluss auf der Rückseite richten, können Systemprofis sofort ohne Handbuch verstehen und umsetzen. Sehr praktisch fanden wir es auch, dass der Administrator über das Web-Interface ein Backup der Einstellungen auf einen lokalen Datenträger ablegen kann.
 
Die Kunst der Einstellungen
 
Die Erstellung von Firewall-Regeln entspricht auch bei diesem Produkt dem in der Branche üblichen Standard: Die Regeln werden im Betrieb so lange von oben nach unten durchlaufen, bis eine passende Regel auf die aktuelle Verbindung passt. Danach blockiert das System diese Verbindung entweder, lehnt sie ab oder reicht sie weiter. Im Regelfenster legt der Administrator die Regeln dazu ebenfalls gemäß den allgemeinen Gepflogenheiten jeweils mit Quell- und Zielangabe an. Die verschiedenen Orte sind ebenfalls logisch und leicht verständlich benannt: Während „LAN“ für das interne Netzwerk und „WAN“ für Netzwerke außerhalb des lokalen Netzwerks stehen, bezeichnet „DMZ“ einen IP-Bereich, der innerhalb demilitarisierte Zone des Netzwerks definiert ist.
 
Die Stateful Inspection Firewall mit Intrusion Detection und Applikations-Management ist von den ICSA-Labs zertifiziert (ICSA Labs ist ein unabhängiger Unternehmensbereich von Verizon Business, der objektive Tests und Zertifizierung für Sicherheitsprodukte und -lösungen erstellt) und konnte bei all unseren Tests überzeugen: So haben wir eine doppelte Vulnerabilitätsanalyse mit „neXploit“ durchgeführt, die aber ebenso erfolglos verlief wie verschiedene DoS-Attacken, die wir von außen gegen die Appliance absetzen. Auch weniger verbreitete Scanner oder der Netzwerk-Scanner des Apple-Macintosh-Systems konnten keine Lücke oder einen versehentlich geöffneten Port aufzeigen.
 
Es versteht sich beinahe von selbst, dass Administratoren ihr Netzwerk heute mit einem reinen Port-Filtering nicht mehr umfassend absichern können. Daher kommt bei diesem Gerät eine Technik zum Einsatz, die der Hersteller zustandsgesteuerte Filterung nennt. Damit analysiert die Software in der Appliance die Pakete nach Art einer „Deep Packet Inspection“ (DPI) und kann so den über das Gerät geleiteten Datentransfer erkennen und analysieren. So kann ein Administrator dann Regelwerke zur gezielten Blockade von „Instant Messaging“-Lösungen wie dem MSN-Messenger oder dem auf dem Jabber-Protokoll (Extensible Messaging and Presence Protocols – XMPP) basierenden Google-Talk schnell und mit wenigen Mausklicks realisieren. Dieser Sicherheitsansatz reicht dabei bis auf den siebten Layer des OSI-Referenzmodells.
 
Info: IntellicompTel.: 06093/369998-0Web: www.intellicomp.de
 
Der Autor auf LANline.de: BÄR

Bild 2. Alle Kontrollen baut der Administrator als Firewall-Regel auf: So kann er Applikationskontrolle, Web-Filter und Port-Zugriffsschutz in einer Regel zusammenfassen.

Bild 1. Alle Funktionen in einem „klassisch“ gegliederten Web-Interface: Die Appliance lässt sich auf diese Art leicht über den Browser konfigurieren.

LANline.