tom's networking guide
 
Anzeige

Vergleichstest Security-Appliances

Firewalls für kleine Netze

Horch, was kommt von draußen rein

Konfiguration

Das Konfigurationsinterface wurde übersichtlich gestaltet und verfügt über eine Explorer-ähnliche Struktur mit den einzelnen Konfigurationspunkten auf der linken Seite. Diese umfassen alle Funktionen der Firewall. Der erste Punkt "Interfaces" dient zum Setzen der IP-Adressen, des Standard-Gateways und ? falls benötigt ? der virtuellen Interfaces. Diese können beispielsweise zum Einsatz kommen, wenn ein Unternehmen mehrere öffentliche IP-Adressen hat, die über die Firewall erreichbar sein sollen. Darüber hinaus können die Verantwortlichen unter "Interfaces" den WAN-Zugang konfigurieren.

Die Appliance unterstützt neben dem in Deutschland für DSL-Zugänge üblichen PPPoE (PPP over Ethernet) auch PPTP (Point to Point Tunneling Protocol). Im Test stellte sich leider heraus, dass das Telco-Tech-Modell nicht mit unserem Tiscali-DSL-Anschluss zusammen arbeitete. Trotz Angabe der korrekten Parameter klappte die Verbindungsaufnahme nicht und der Support des Herstellers musste ebenfalls das Handtuch werfen. Immerhin brachten wir bei dieser Gelegenheit in Erfahrung, dass die Lösung hervorragend mit T-Online- und Arcor-Anschlüssen kommunizieren könne. Um den Test fortzusetzen, platzierten wir zwischen dem DSL-Anschluss und der Firewall einen Bintec-DSL-Router, der die Verbindungsaufnahme durchführte und der in der Firewall als Standard-Gateway eingetragen wurde. Damit funktionierte der Internet-Zugriff problemlos.

Mit dem nächsten Punkt des Web-Interfaces, "Statische Routen", lassen sich feste Routen festlegen, zum Beispiel wenn es darum geht, Datenpakete in andere Subnetze weiterzuleiten. Der Punkt "Portforwarding" ermöglicht das Weiterleiten von Ports, die aus dem Internet angesprochen werden, an interne Rechner. Auf diese Art und Weise können die Benutzer beispielsweise remote auf einen SSH-Server zugreifen, der in einem LAN mit privaten IP-Adressen arbeitet, das über eine DSL-Leitung mit dem Internet verbunden ist. Das funktionierte im Test auf Anhieb.

Mittels Portforwarding können externe Anwender auf Ressourcen im internen Netz zugreifen.

VPN

"VPN IPSec" ermöglicht eine verschlüsselte, sichere Kommunikation über das Internet. Über die hier einzurichtenden VPN-Tunnel lassen sich beispielsweise die Netzwerke mehrerer Niederlassungen verbinden. Darüber hinaus kann ein "Road Warrior" über ein VPN in die Lage versetzt werden, mit seinem Notebook remote so auf das Unternehmensnetz zuzugreifen, als befinde er sich in seinem Büro. Der Schlüsselaustausch für das VPN erfolgt über IKE (Internet Key Exchange) und die Verbindung basiert auf dem IPSec-Standard. Damit möchte der Hersteller nach eigenen Angaben sicher stellen, dass eine bestmögliche Kompatibilität zu anderen VPN-Produkten gewährleistet wird.

Die Sicherheitseinrichtungen umfassen VPN-Verbindungen mit Preshared-Keys, RSA-Sigkeys oder x.509-Zertifikaten. Sollen VPNs zwischen Gateways mit dynamischen IP-Adressen aufgebaut werden, so wie sie beispielsweise bei T-DSL-Verbindungen üblich sind, muss ein dynamischer DNS-Dienst zum Einsatz kommen. Die Telco-Tech-Firewall unterstützt dabei folgende Anbieter: dhs, dyndns, dyns, easydyns, ezip heipv6tb, hn, justlinux, managed-security, ods, pgpow, tzo und zoneedit. Bei dieser umfangreichen Liste sollte jedes Unternehmen den Dienst seiner Wahl finden.

Das "Bandbreitenmanagement" dient dazu, Services wie VoIP (Voice over IP) oder Client-Server-Anwendungen, die nicht unterbrochen werden dürfen, zu garantieren. Genauso können die Administratoren damit beispielsweise den Durchsatz von File-Sharing-Protokollen beliebig herunterbremsen und so ihren Kollegen den Spaß daran verderben, ohne sie komplett verbieten und deswegen langwierige Diskussionen führen zu müssen. Die Bandbreitenregeln lassen sich mit den Firewall-Regeln verknüpfen. So ist es zum Beispiel möglich, bestimmten VPN-Tunneln feste Bandbreiten zuzuweisen.

Da sich mehrere Dienste in eine Regel aufnehmen lassen, sind sehr übersichtliche Firewall-Konfigurationen möglich.

Unter "Firewall" findet die Definition der Zugriffregeln statt. Das funktioniert, wie bei solchen Lösungen meist üblich, über die Quelladresse, die zur Regel gehörenden Dienste und die Zieladresse. Hierbei hat der Hersteller die meisten wesentlichen Dienste bereits vordefiniert, falls erforderlich können die Anwender aber auch eigene festlegen. Da sich mehrere Dienste in eine Regel einbinden lassen, geht die Konfiguration verhältnismäßig übersichtlich und schnell über die Bühne. Darüber hinaus sind die Verantwortlichen in der Lage, einzelne IP-Adresse und Netzwerke zu Gruppen zusammenzufassen, was die Übersichtlichkeit noch weiter erhöht.

Der Punkt "Intrusion Detection" dient zur Konfiguration des IDS, das den Netzwerkverkehr in Echtzeit analysiert, Angriffe erkennt und protokolliert und Angreifer bei Bedarf sogar selbstständig blockieren kann. Darüber hinaus verschickt das IDS Alert-Meldungen per Mail.

Das integrierte Intrusion Detection Systen bringt eine große Zahl von Regeln mit sich.

Der "Application Level Gateway" untersucht auf Anwendungs-Ebene den Inhalt der übertragenen Daten. Damit lassen sich zum Beispiel eine optionale Virus-Scan-Funktion, oder auch Content- und SMTP-Filter in das System einbinden.

Unter "Einstellungen" nehmen die Verantwortlichen die allgemeinen Einstellungen, wie Proxy-Settings, Angaben zum DHCP-Server, die DNS-Konfiguration oder die Festsetzung der Systemzeit vor. Zusätzlich lassen sich unter diesem Punkt verschiedene Benutzer mit unterschiedlichen Zugriffsrechten auf die Firewall einrichten. Damit haben die Verantwortlichen die Möglichkeit, die Konfigurationsmöglichkeiten genau festzulegen. So können sie zum Beispiel einem Benutzer das Recht geben, VPN-Tunnel einzurichten, ihm aber gleichzeitig den Zugriff auf die Interface-Einstellungen verweigern.

Über die "Verwaltung" starten und stoppen die Administratoren die auf der Appliance laufenden Dienste Firewall, VPN, DNS, IDS, DHCP, Application Level Gateway, und Bandbreitenmanagement. Zusätzlich führen sie Backups der Konfiguration durch, aktualisieren die Firmware oder fahren das Produkt herunter. Der Punkt "Meldungen" dient schließlich zum Einsehen der Log-Dateien.

Portscan

Bei Portscans und DoS-Angriffen kam es zu keinen Unregelmäßigkeiten. Die Firewall versah auch unter hoher Last ihren Dienst wie gewohnt und teilte potentiellen Angreifern keine nützlichen Informationen mit. Auch Nessus konnte keine nennenswerten Probleme finden.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

© BNS Soft- & Hardware. Tom's Networking Guide Deutschland 2004 - 2018. Alle Rechte vorbehalten.

Impressum und Nutzungshinweise

Auf dieser Seite werben? Kontakt in den Mediadaten