Praxistest Astaro Security Gateway
Einstiegs-Firewall für Unternehmen
Dass es ohne eine Firewall im Internet nicht vorwärts geht, weiß inzwischen auch der dümmste User. Innerhalb des Unternehmens verzichten nach wie vor viele Administratoren aus Gründen der Einfachheit auf eine Aktivierung der Personal Firewalls. Die Haupteingangspforte des Netzwerks muss folglich gut geschützt sein. Astaros Security Gateway Essential Firewall für Unternehmen könnte die Wahl sein.
Dass es ohne eine Firewall im Internet nicht vorwärts geht, weiß inzwischen auch der dümmste User. Innerhalb des Unternehmens verzichten nach wie vor viele Administratoren aus Gründen der Einfachheit auf eine Aktivierung der Personal Firewalls. Die Haupteingangspforte des Netzwerks muss folglich gut geschützt sein. Astaros Security Gateway Essential Firewall für Unternehmen könnte die Wahl sein.
Astaro, ein in Deutschland ansässiger Hersteller von Firewall-Lösungen, bietet seit einiger Zeit zwei kostenfreie Varianten seines Astaro Security Gateways an. Die „Free Home Use Edition“ ist eine voll funktionsfähige Version der Software, die Privatanwender kostenlos nutzen können. Alle Funktionen der Software stehen hier für bis zu 50 lokale IP-Adressen zur Verfügung.
Die hier betrachtete „Essential Firewall Edition“ ist für Unternehmen gedacht und in Bezug auf die Laufzeit und die Anzahl der IP-Adressen unlimitiert. Die Software bietet für den Netzwerkbetrieb statisches Routing, Bridging, einen DNS-Server und Proxy-Dienst, dynamisches DNS (DynDNS), DHCP als Server und Relay, Unterstützung für NTP und Quality of Service. Für die Netzwerksicherheit bietet die Software eine klassische Stateful Packet Inspection Firewall mit Network Address Translation (NAT) gemäß DNAT, SNAT und Masquerading. Für Fernzugriffe werden PPTT und L2TP über IPSec unterstützt.
Im Lizenzmodell von Astaro kommt der Essential Firewall Edition 7.5 eine weitere Bedeutung zu: Sie bildet die Basislizenz der Astaro Security Gateway Plattform, zu der Kunden weitere kostenpflichtige Anwendungen, die so genannten „Security Applications“, nach Bedarf flexibel hinzufügen können.
Schnellinstallation der Virtual Appliance
Für die Installation bietet der Hersteller zwei Varianten an: die klassische Installation für den Betrieb auf einer physischen Maschine oder eine bereits vorinstallierte virtuelle Maschine für Umgebungen von VMware. Sowohl der Betrieb unter VMware Server 2.0 und in einer aktuellen Version der VMware Workstation 7.0 verlief problemlos. Nach dem Download des rund 1,1 GByte großen Zip-Archivs ist die virtuelle Maschine über die VMX-Datei einzubinden und mit mindestens zwei virtuellen Netzwerkkarten zu versehen. Die weiteren Systemanforderungen sind moderat: eine CPU mit 1 GHz Taktfrequenz, 1 GByte Arbeitsspeicher und 12 GByte Festplattenkapazität. Nach dem Entpacken des Zip-Ordners belegt die virtuelle Maschine zunächst lediglich 1,8 GByte an Plattenspeicher. Obwohl Astaro in der Produktdokumentation 12 GByte Festplattenspeicher angibt, so wurde der virtuellen SCSI-Festplatte 30 GByte zugestanden.
Im Zip-Archiv findet sich die Kurzdokumentation in Form eines PDF-Dokuments mit 16 Seiten. Die Anleitung beschränkt sich auf die Einbindung der virtuellen Maschine. Eine vollständige Anleitung, ebenfalls als PDF-Datei, mit 478 in den Sprachen Deutsch und Englisch lässt sich aus der Web-Oberfläche herunterladen.
Grundkonfiguration in Minuten
Der Erstkontakt wird über die Web-Oberfläche hergestellt. Ein Setup Wizard empfängt den neuen Benutzer und fragt alle wichtigen Stamminformationen wie IP-Adresse, Netzwerkumgebung und Host-Namen ab. Einige Sekunden benötigt der Wizard, um diese Informationen umzusetzen. Im nächsten Schritt werden Netzwerksicherheitsregeln und die Einstellungen zur Web-Seiten-Inhaltsfilterung festgelegt. Allzu viele Mühen sollte sich der Administrator bei der Eingabe in der freien Version jedoch nicht machen, da viele Funktionen des Wizards in der kostenfreien Version später nicht genutzt werden.
Nach Abschluss der Grundkonfiguration erfolgt die erste echte Anmeldung über die Web-Oberfläche. Design und Funktionalität der Oberfläche sind auf dem Stand der Zeit. Das Dashboard fasst alle wichtigen Informationen zusammen: die Ressourcennutzung der Maschine, den Status der Netzwerk-Interfaces und die Anzahl gefilterter Pakete und URLs sowie geblockte Pakete. Innerhalb weniger Minuten findet sich der Anwender in der Oberfläche zurecht: Die Erzeugung des Zertifikats für das „Webadmin“, die Einrichtung regelmäßiger Backups oder die Aktivierung der SNMP-Kommunikation gehen schnell von der Hand. Sind mehrere Astaro-Gateways im Einsatz, so empfiehlt sich die Verwendung des Managements mit der freien Software Astaro Command Center (ACC), die auch von der kostenfreien Version unterstützt wird.
Definition von Regeln
Im Menü „Network Security“ legt der Administrator die grundlegende Arbeitsweise der Firewall fest. Glücklicherweise ist die Standardeinstellung von Astaro so gewählt, dass Client-Computer über das Security Gateway sofort eine funktionierende Verbindung aufbauen können. Der Installationsassistent hat im Test gemäß der Auswahl drei Regeln angelegt, die DNS-Abfragen, das Web-Surfing und die Verwendung von E-Mail-Messaging ermöglichen. Dank der Kommentarfunktion ist es dem Administrator sehr leicht möglich festzustellen, welche Parameter der Assistent eingetragen hat. Diese Kommentarfelder sind mit „Added by installation wizard“ gefüllt. Die Kommentarfunktion ist in der Praxis sehr hilfreich, da sie eine kleine, aber praktische Dokumentation ermöglichen.
Das Anlegen eigener Paketfilterregeln geht mit der Software leicht und zügig von der Hand: Der Systemverwalter muss nur die Schaltfläche „Neue Paketfilterregel…“ anklicken und dann die Position der Regel für die Ablaufreihenfolge sowie Quelle und Ziel definieren. Anstatt die Port-Adresse manuell einzugeben, haben Administratoren hier die Möglichkeit, per Drag and Drop aus bereits definierten Diensten auszuwählen – dies erleichtert die Anlage deutlich.
Typischerweise folgt auf eine Regeländerung die Kontrolle der Anpassung. Das Live-Protokoll offenbart hier einen Blick auf den derzeitigen Netzwerkverkehr. Mit der Option „Verkehr protokollieren“ lassen sich einzelne Paketfilterregeln im Protokoll isolieren.
Die Astaro Security Gateway Software bietet zudem unterschiedliche Zeitbezüge. Damit lässt sich beispielsweise ein Regelwerk anlegen, bei der in der Mittagspause weniger strenge Einschränkungen gelten als zur typischen Büroarbeitszeit. Erwartungsgemäß arbeitet die Firewall zuverlässig und lässt sich durch keine der über das Internet frei herunterladbaren Tools aus dem Tritt bringen. Das Einzige, was die Port-Scanner herausbekommen, ist die MAC-Adresse der virtuellen externen NIC.
Lust auf mehr!
Ein Blick in das Menü „Definitionen“ offenbart die potenziellen Fähigkeiten der Software. Allein 84 vorbereitete Definitionen unterschiedlicher Web-Dienste von H.323 über HP Jetdirect, Microsoft RDP bis hin zu Yahoo IM sind aufgelistet. Eigene Definitionen sind durch Eingabe von Typ, Ziel- und Quell-Port möglich. Ähnlich verhält es sich bei den Einstellungen zur Web-Security. Hier ließen sich ebenfalls viele Regeln und Optionen hinterlegen. In der kostenfreien Version sind diese Eingabefelder jedoch gesperrt. Ohne die passende Lizenz verweigert das Fenster die Eingabe von Daten zum URL-Filtering oder die Aktivierung der dauerhaften Prüfung von Web-Content durch eine Antiviren-Engine.
Fazit
Mit der kostenfreien VM-Appliance stellt Astaro eine äußerst interessante Firewall bereit. Kleinere Unternehmen haben so die Chance, auch ohne den Einsatz größerer Summen eine moderne Firewall an der Pforte ihres Netzwerks zu positionieren. Das einheitliche Konzept der Oberflächen und Funktionen ist besonders für Consultants interessant, die verschiedene Kunden mit unterschiedlichen Anforderungen betreuen. Der sukzessive Ausbau mit Modulen garantiert zudem, dass ein Unternehmen stets nur die tatsächlich gewünschte Funktionalität bezahlen muss. Im Laufe des Jahres will Astaro in diesem Bereich noch weitere Module veröffentlichen, darunter ein Mail-Archiv-System und eine Sicherheitslösung für Wireless-Netzwerke.
Info: Astaro
Tel.: 0721/25516-0
Web: www.astaro.de
Lesen Sie mehr zum Thema
