Für den Hardwaretest lieferte Sophos die XG 115w Security Appliance Wifi in der jüngsten Revision 3. Um ein umfassendes Sicherheitspaket betrachten zu können, war zudem der Windows-10-Test-Client mit der aktuellen Endpoint-Security-Software ausgestattet. Das Management kam direkt aus der Cloud.

IT-Experten sind sich bei einem Thema durchaus einig: Firewall und AV-Schutz allein reichen nicht mehr aus, um die sicherheitstechnischen Herausforderungen dieser Tage zu bewältigen. Insbesondere die immer noch verbreitete Ransomware gilt als akute Gefahr. Um diesen Schädling zu bekämpfen, ist es nötig, das Verhalten auf dem Endgerät selbst und den ein- und ausgehenden Netzwerkverkehr gleichermaßen zu überwachen. Das Zusammenspiel der Sicherheitslösungen verschiedener Hersteller ist zwar grundsätzlich möglich – das Stichwort lautet SIEM. Doch ist dies in der Praxis eher selten anzutreffen. Innerhalb der Produktreihe eines Herstellers ist es für IT-Verantwortliche meist deutlich einfacher, verschiedenen Angriffsvektoren entgegenzuwirken.

Im Idealfall arbeitet eine Client-Komponente auf dem Endpoint, und dieser ist über ein verwaltetes Netzwerk mit einer ebenfalls gemanagten Firewall der „nächsten Generation“ verknüpft. Diese „Next Generation“- oder „Unified Threat Management“-Systeme (UTM) vereinen die Funktionen Internet-Gateway, Firewall, VPN-Gateway, Virus-Protection, Intrusion Detection System (IDS), Content Filtering, Spam Protection, Endpoint Protection, Authentifizierung, QoS und bieten dem IT-Profi ein Reporting. All dies bietet auch die Kombination des XG-115w-Geräts im Zusammenspiel mit der Sophos Endpoint Protection.

Hardware

Die Leistungsaufnahme schwankt laut Herstellerangaben zwischen 8,88 Watt im Leerlauf und 10,44 Watt bei Volllast. Im Vergleich zum Vorgänger steigt damit der Verbrauch um wenige Prozentpunkte. Jedoch bietet das neue Modell auf Basis einer Apollo Lake E3940 CPU mit 64 GByte SSD und 4 GByte DD3-RAM ein deutliches Mehr an Leistung. Den Firewall-Durchsatz haben die Entwickler auf 4 GBit/s gesteigert, beim VPN-Betrieb bis zu 490 MBit/s und beim IPS-Durchsatz immerhin 1,22 GBit/s. Optisch fällt auf, dass nur noch zwei externe Antennen zum Einsatz kommen – dafür beherrscht die jüngste Version nun WLAN nach 801.11ac. Grundsätzlich eignen sich die jüngeren Sophos-Geräte mit WLAN-Ausstattung auch zum Aufbau von Mesh-Netzwerken. Ein Mesh-Netzwerk bei Sophos kann den Netzwerkverkehr zwischen den Access Points über eine Ethernet-Verkabelung, aber auch über WLAN selbst leiten. Der maximale Durchsatz eines mit 5 GHz konfigurierten Mesh-Clients ist jedoch – nicht nur bei Sophos – pro Hop um 50 Prozent reduziert.

Mit wenigen Mausklicks sperrt der Administrator die Kommunikation für Applikationen auf der XG-UTM-Ebene.

Auf der Rückseite gibt es eine echte Überraschung in diesem Preissegment. Sophos bietet die Möglichkeit, ein optionales Stecknetzteil als zweite, redundante Stromzufuhr anzubringen. Anstelle über VGA können Administratoren nun per HDMI direkt auf die Konsole zugreifen. Einer der vier GbE-Kupfer-Zugänge ist nun als geteilter SFP-Port für ein optionales DSL-Modem nutzbar.

Zügige Inbetriebnahme mit Cloud-Service

Selten dürfen Administratoren ein „Unboxing“ dieser Art erleben, es sei denn im Unternehmen kommen sehr viele Apple-Systeme zum Einsatz. Der innere Karton für die Sophos-Appliance ist äußerst hochwertig. Das Gerät, gefertigt aus weiß beschichtetem Metall und Kunststoff, folgt dieser eindrucksvollen Haptik. Die Box ist rasch aufgebaut: Stromversorgung herstellen, Netzwerkkabel für das WAN verbinden und ein Notebook an den LAN-Port anschließen. Nach recht kurzer Zeit kann sich der Techniker über einen Browser zuschalten und der assistentengestützten Einrichtung des Systems folgen.

Im Normalfall empfiehlt es sich, das Gerät und die erworbenen Lizenzen gleich zu aktivieren. Ohne die Zuweisung arbeitet die UTM-Appliance im Basis-Lizenzbetrieb ohne Limitierung. Dabei beschränken sich die Funktionen auf Standard-Firewall-Dienste, VPN und den Wireless-Betrieb. Somit ist die Box auch ohne die Dienste von Sophos voll einsetzbar. Wie beinahe alle Hersteller von Security-Lösungen bietet auch Sophos die Möglichkeit einer Cloud-basierenden Verwaltung von Endpoints und der Security-Infrastruktur. Insbesondere für betreuende Systemhäuser oder IT-Dienstleister sind diese Modelle praktisch, da sie auch einen Zugriff auf die Systeme ermöglichen, ohne dass sich der Techniker über VPN in das eigentliche Kundennetzwerk aufschalten müsste. Die Einbindung in die Management-Oberfläche erledigt der Anwender bei Sophos mit einigen wenigen Mausklicks. Der Hersteller bietet zudem eine 30-Tage-Testversion an, die jedoch zwangsläufig in ein Telefonat mit dem freundlichen Verkaufspersonal führt.

Letztendlich unterscheidet sich die Cloud-basierende Verwaltung nicht vom lokalen Zugriff. In beiden Fällen kommt der Browser als Werkzeug zum Einsatz. Lokal reagiert die Appliance gefühlt ein wenig schneller. Sogar der Zugriff auf die Konsole aus dem Browser-Fenster heraus gelingt über den Cloud-Zugriff. Wer also lieber die Befehle direkt eingibt und darauf trainiert ist, kann dies auch aus der zentralen Verwaltung heraus durchführen.

Insgesamt sehr praktisch ist die Möglichkeit des automatischen Backups der Appliance-Daten in dem Sophos-Cloud-Service. Im einfachsten Fall wählt der Administrator die tägliche, automatische Sicherung und kann im Bedarfsfall auf die frühere Konfiguration zugreifen. Alternativ gibt es nach wie vor das lokale Backup, die FTP-Speicherung oder die Sicherung per E-Mail.

Die Grundkonfiguration der Appliance gelang uns – dank der kompetenten Unterstützung durch einen Consultant – recht rasch. Der Techniker führte uns im Anschluss noch kurz die wichtigsten Features vor verhalf auch unserem Windows-Testrechner zu einer Endpoint Protection mit „Intercept X“.

Unerwünschte Verbindungen und Programme blockieren

Schlussendlich geht es bei der jüngsten Sicherheitsstrategie von Sophos, Synchronized Security genannt, darum, mehrere Komponenten aufeinander abgestimmt reagieren zu lassen: in diesem Fall die Appliance und die Software auf dem Endpoint. Dabei geht es nicht grundsätzlich um Hardware – die Appliances gibt es auch als VM für den Rechenzentrumsbetrieb in unterschiedlichen Ausbaustufen.

Grafisch hübsch umgesetzt: Die Anatomie eines Ransomware-Angriffs, protokolliert von der Endpoint Security.

Alle typischen Port-basierenden Regelwerke beherrscht die Firewall selbstverständlich auch. Der LANline-Test sollte jedoch eher die Applikationen genau unter die Lupe nehmen. Für den ersten Test wollten wir sicherstellen, dass die Produktivität im gedachten Unternehmen wieder ansteigt und blockierten über die Applikationsidentifikation auf der Appliance die Anwendung „Candy Crush“, ein vermeintlich kostenloses Casual-Spiel. Mit wenigen Schritten klickten wir über die Sophos-Central-Verwaltung eine Regel zusammen, die den Datenaustausch zwischen dem Programm und den Server-Strukturen verhindert. Praktischerweise verlor das Spiel dadurch viele seiner Gimmicks, also bereits ein Teilerfolg.

Um noch ein wenig weiterzugehen, aktivierten wir die Applikationsblockade mit der Endpoint Security – aber die Saga rund um die bunten Bonbons funktionierte einfach weiter. Auf Nachfrage teilte uns Sophos mit, dass die Erkennung von Applikationen in der Software auf Basis von Signaturen geschieht. Candy Crush läge exakt im Testzeitraum in einer neuen Version vor, daher würde es noch ein paar Tage dauern, ehe der Schutz wieder greift. Und an diesem Punkt offenbart sich der Nachteil des Signaturschutzes – er lässt sich einfach durch eine neue Version aushebeln.

In einem weiteren Test wollten wir sicherstellen, dass ein Web-Mailer – wir entschieden uns exemplarisch für den der Firma Ionos, da 1&1 unter den sieben bekannten Web-Mailern ganz oben in der Liste stand – nicht mehr genutzt werden kann. Wieder gelang es uns, mit wenigen Klicks eine Regel aufzustellen, die den Zugriff blockierte. Über die Funktion „Planer“ ist auch eine Variante denkbar, bei der der Schutz nur zur üblichen Arbeitszeit oder an Werktagen gilt. Mit knapp 3.400 bekannten Applikationen verfügt der Administrator so über eine recht bequeme Verwaltung.

Noch ein Programm musste sich unserer Kommunikationsblockade unterziehen: Kein Datentransfer mehr für Microsoft Cortana – ebenfalls kein Problem. Die Verwaltung der Regelwerke geschieht für Benutzer, Gruppen, Bereiche oder einzelne PCs. Wir konnten keine Variante eines Regelwerks entdecken, die nicht abbildbar gewesen wäre. Insgesamt ist es praktisch, dass die Sophos-Lösung auch ohne Anbindung eines Verzeichnisdienstes auskommt. Im einfachsten Fall kann der Security-Administrator Benutzer und Geräte auch direkt in der Box zuweisen und Regelwerke definieren. Dies ist in kleinen Dependancen oder Büros hilfreich.

Die einfachste Form der Funktionsprüfung ist noch immer der EICAR-Test-String, den die Endpoint-Protection in allen Qualitäten auf dem Client blockierte. Der Besuch der Web-Seite selbst war durch die XG 115w problemlos möglich, da wir keine entsprechenden Regeln etabliert hatten. Anstelle einer zu Testzwecken vorsätzlichen Ransomware-Infektion bietet der Hersteller den kostenfreien „SophosTester“ an, der aus verschiedenen Kategorien rund 45 unterschiedliche Angriffe auf dem Zielrechner simuliert. Erwartungsgemäß verhindert die installierte Sicherheitssoftware einen so durchgeführten „CrytoGuard“- oder „Heap Spray“-Angriff. Im „Bedrohungsanalyse-Center“ von Sophos Central zeigt die Lösung eine detaillierte Auswertung des Vorgangs. In unserem Fall lag die „Hauptursache“ in Microsoft Edge, über den wir den „Sophos Tester“ herunterluden, und der dann – im diesem Kontext als „Beacon“ – die eigentliche Aktivität ausführt.

Was genau wann und wie geschah und wie die Reparatur des angerichteten Schadens geschah, zeigt die grafische Analyse des „Falldatensatzes“ an. Der forensisch interessierte Administrator kann so alle Dateivorgänge und Zugriffe auf die Registry exakt nachverfolgen.


Eine durchaus interessante Entwicklung in diesem Zusammenhang ist die „Lateral Movement Protection“. Dabei handelt es sich um ein Feature aus dem „Synchronized Security“-Ansatz, bei dem die zentrale Verwaltung die anderen Client-Rechner über die vorgefundenen Probleme auf einem PC informiert. Die nicht betroffenen Computer stellen daraufhin die Kommunikation mit dem „erkrankten System“ ein.

Fazit: leistungsstark und einfach administrierbar

Das „kleine“ Modell XG 115w von Sophos ist äußerst leistungsfähig und sehr einfach zu administrieren. Auch ohne einen Kurs findet sich der Administrator recht zügig in den Menüs zurecht. Die Applikationserkennung und Regelwerke auf der Appliance-Seite beeindrucken. Richtig gut wird es im Zusammenspiel mit der lokalen Endpoint-Security-Software auf dem Client und der Komplettverwaltung aus der Cloud heraus.

Thomas Bär und Frank-Michael Schlede.