tom's networking guide
 
Anzeige

Test - Innominate mGuard

Innominate mGuard

Sicherheit zum Mitnehmen

Einfacher im Stealth-Mode

In der herkömmlichen Netzwerktopologie muss ein Netzwerkbauteil, welches die Funktion einer Firewall übernehmen oder gar VPN-Verbindungen aufbauen soll, mindestes eine eigene IP-Adresse haben. Im Allgemeinen kommt ein Administrator kaum an der Erstellung eines getrennten Subnetzes für den oder die Rechner im geschützten Bereich vorbei. Der Verwaltungsaufwand für die daraus resultierenden NAT- und Port-Forwarding-Konfiguration ist umso erschreckender, als dass er unter Umständen nur für einen einzelnen Rechner gemacht werden muss.

Für Sonderfälle kann der Anwender die entscheidenden Angaben für den Stealth-Mode vorgeben.

Dagegen setzt Innominate den Stealth-Modus. Hier wird ein einzelner Rechner geschützt. Falls der zu schützende Rechner unmittelbar an seiner LAN-Ethernet-Schnittstelle hängt, erkennt mGuard automatisch die dessen IP- und MAC-Adresse. Alternativ kann der Anwender diese Daten fest eingegeben. Im Fall einer festen IP-Adresse im Client dürfen im Pfad zwischen mGuard und Rechner sogar WLAN-Access-Points oder andere Netzwerk-Brücken liegen. So haben wir in unserem Test ein via WLAN drahtlos vernetzten Notebook erfolgreich geschützt.

Die Funktionsweise ist im Grunde einfach: Anhand der MAC- und IP-Adresse erkennt die mGuard-Appliance welche der IP-Datenpakete, die durch das Gerät laufen näher analysiert werden müssen. Auf alle IP-Datenpakete die von oder zu dem geschützten Rechner gehen wendet das mGuard Firewallregeln an. Unerwünschte Datenpakete kommen so nicht einmal an der Netzwerkschnittstelle des geschützten Rechners an.

Die mGuard-Appliance initiiert eventuell benötigte VPN-Tunnel von sich aus. Dabei führt sie die Authentisierung und den Schlüsseltausch ganz ohne Beteiligung desjenigen Rechners durch, der die VPN-Verbindung nutzen wird. Danach verschlüsselt und verpackt das mGuard alle Datenpakete, die in ein über das VPN erreichbares Subnetz gehen.

Im Stealth-Modus bleibt der mGuard für die anderen Netzwerkelemente unsichtbar. Das erhöht sogar die Sicherheit: Ein Angreifer sieht nur einen Rechner mit Firewall und VPN-Software-Client. Die meisten ihm bekannte Exploits kann er nicht anwenden, da er nicht weiß und auch nicht wissen kann, dass die Komponenten die er angreifen will, nicht im gleichen Rechner ablaufen.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige