tom's networking guide
 
Anzeige

Vergleichstest Security-Appliances

Firewalls für kleine Netze

Horch, was kommt von draußen rein

Beschreibung des Testaufbaus

Firewalls schotten unterschiedliche Netzwerke voneinander ab. Meistens sind das neben dem öffentlichen Internet das interne Unternehmensnetz und eine DMZ (Demilitarisierte Zone). Aus dem internen Netz greifen Client-Rechner aufs Internet zu, stellen aber selbst keine Dienste nach außen zur Verfügung, deswegen spielt hier vor allem die Überwachung des ausgehenden Verkehrs eine Rolle. In der DMZ stehen Systeme, die aus dem Internet erreichbar sein müssen und darüber hinaus meist auch mit den internen Clients kommunizieren, beispielsweise Mail- oder File-Server. Hier ist es folglich wichtig, sowohl den ein- als auch den ausgehenden Verkehr zu kontrollieren. Es sind auch Mischformen denkbar, beispielsweise bei einigen Soho-Netzwerken. Diese haben meist keine DMZ, leiten aber oft den eingehenden Verkehr auf einen bestimmten Rechner im LAN um und realisieren so den Zugriff auf Mail-Server und ähnliches.

Für den aktuellen Test richteten wir drei unterschiedliche Netzwerksegemente ein, die das Internet, die DMZ und das LAN repräsentieren. Im LAN arbeiteten unterschiedliche Rechner mit den Betriebssystemen Debian-Linux, Suse-Linux und Windows (98SE, XP Professional sowie Server 2003 als Active Directory Controller). Die DMZ verfügte über Serversysteme unter Debian- sowie Redhat-Linux, OpenBSD, Solaris 9 und Netware sowie Windows 2000 Server. An Applikationen liefen hier ein Apache Webserver, der IIS (Internet Information Server), ein Exchange-Server 2003 Service Pack 1 als Mail-System sowie zwei SSH- und FTP-Server. Der Internet-Zugang wurde über einen T-DSL-Anschluss in Verbindung mit einem Tiscali-Account realisiert.

Firewalls verbinden meist drei unterschiedliche Netzwerksegmente miteinander: Internet, DMZ und LAN.

Um die Sicherheitsgeräte zu testen, verbanden wir sie zunächst mit dem Netz und nahmen sie in Betrieb. Dabei wurden die Schritte durchgeführt, die zum Einrichten der Firewall erforderlich sind. Hierzu gehören beispielsweise das Zuteilen einer IP-Adresse und das Setzen des Administrations-Passworts.

Im nächsten Schritt ging es an die Konfiguration. Hierbei griffen wir auf die Firewall zu, setzten die IP-Adressen der übrigen Interfaces, legten die Regeln an, die es beispielsweise den Clients aus dem LAN erlaubten, auf den Exchange-Server zuzugreifen oder die es Internet-Benutzern ermöglichten, einen SSH-Tunnel von außen aufzubauen. Dazu kam auch noch die Konfiguration des integrierten IDS (Intrusion Detection Systems).

Danach kam der Test der Funktionalität an die Reihe. In diesem Schritt nahmen wir die Firewall mit Security-Tools unter die Lupe. Dazu gehörten sowohl Systeme wie Nessus, als auch Portscanner wie Nmap und Hacker-Tools von einschlägigen Websites, die DoS-Angriffe und ähnliches durchführten. Diese Security-Tools arbeiteten in allen drei Segmenten und nahmen alle Firewall-Interfaces getrennt ins Visier.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

© BNS Soft- & Hardware. Tom's Networking Guide Deutschland 2004 - 2018. Alle Rechte vorbehalten.

Impressum und Nutzungshinweise

Auf dieser Seite werben? Kontakt in den Mediadaten