Kleine UTM-Appliance im Kurztest

3. Januar 2012

Die alten Firewalls, die einfach nur Ports blockieren, sind bei den IT-Verantwortlichen und Systemadministratoren nicht nur einfach "aus der Mode geraten": Sie schützen ein Unternehmensnetzwerk heute nicht mehr zuverlässig genug vor den Gefahren, die aus dem Netz kommen können. So bieten dann viele Hersteller zu denen auch die Firma Cyberoam gehört, Systeme an, die häufig auch unter der Bezeichnung UTM (Unified Threat Management) zusammengefasst werden. Wir haben uns ein Exemplar dieser "neuen" Firewall-Appliances einmal etwas näher betrachtet und stellen es hier in einem Kurztest vor.

Wenn es um Firewall-Lösungen geht, dürften die Namen Elitegroup und Cyberoam in Deutschland noch weitgehend unbekannt sein. Trotzdem sehen Analysten wie Gartner die aus Indien stammende Firma gleichauf mit Anbietern wie Astar, der ja erst kürzlich vom Sicherheitsexperten Sophos übernommen wurde.

Wir haben uns für diesen kurzen Test das mit circa 500,- Euro gehandelte Einsteiger-Modell CR15wi des Herstellers Cyberoam ausgesucht. Die Geräte der CRi-Serie sind primär für kleine- und mittelständische Firmen gefertigt, die das komplette Leistungsspektrum aktueller Anforderungen benötigen:

•    Portbasierte und Stateful Inspection Firewall,
•    VPN-Anbindung mit SSL VPN (Virtual Private Network) und IPsec,
•    zentraler Virenschutz auf Gateway-Ebene,
•    Anti-Spy- und Anti-Spam-Funktionen,
•    Intrusion Prevention System (IPS),
•    Inhalts- und Applikation-Filterfunktionen sowie
•    das Bandbreiten-Management.

Die „15“ im Geräte-Titel steht für 15 Megabit pro Sekunde – dem Wert an Daten, die geschützt pro Sekunde durch die kleine Appliance transportiert werden können.

Auch wenn es sich um ein Einstiegsmodell handelt, so machen Features wie integrierte VLAN-Unterstützung, dynamisches Routing, Multicast Forwarding und ein äußerst weitreichendes Logging und Reporting klar, dass es sich nicht um ein SOHO-Gerät (Small Office/ Home Office) handelt. Komplette Unterstützung von IPv6 und Auswertungen, die  nur nach vorgeschaltetem, passwortgeschütztem Vier-Augen-Prinzip eingesehen werden können, unterstreichen den professionelle Anspruch dieser Lösung deutlich.

Äußerlich eher unauffällig: Kleine, kompakte Appliance

Rein äußerlich macht dieses Gerät mit den Maßen 23,2 x 15,3 x 4,4 Zentimeter  in einem Metallchassis nicht unbedingt viel her. Dabei ist es robust und solide verarbeitet. Im Inneren arbeitet eine 500 MHz VIA Eden ULV CPU, der vom Hersteller 512 MByte DDR-II-Speicher als RAM mit auf den Weg gegeben wurden. Die Appliance speichert die Einstellungen, Log-Werte und sonstige Betriebsdaten auf einem 4 GByte großen Compact-Flash-Speicher. Bewegte Bauteile gibt es nicht.

Das Gerät verfügt über drei WLAN-Antennen, ein externes 100-240 Volt Netzteil und einen Reset-Taster. Ansonsten sind an der Rückseite noch ein RS232C-Anschluss für die Konsole, drei 10/100-Fast-Ethernet Ports und ein USB-Anschluss angebracht. Alle benötigten Anschlusskabel und eine kurze Produkt-Dokumentation liefert der Hersteller ebenfalls mit.

Web-Interface mit moderner Oberfläche erleichert die Arbeit

Schaltet sich der Administrator mittels eines Browser auf das Web-Interface der Appliance, so steht ihm dort eine modern gehaltene Oberfläche zur Verfügung, die ihm die benötigten Einstellung übersichtlich gegliedert darstellt: Er findet auf der linken Fensterhälfte das Menü mit den einzelnen Funktionsbereichen und auf der rechten Seite ein horizontal angebrachtes Untermenü sowie den Bereich für die Eingaben. Im Test hatte der Microsoft Internet Explorer 7 manchmal „Time-Out“-Fehler, mit dem Mozilla Firefox (Version 8) trat dieses Problem hingegen nicht auf.

Wenn es um die Erstellung von Firewall-Regeln geht, braucht der Administrator hier zum Glück nicht erst lange neu zu lernen: Die Art und Weise der Einstellungen unterscheidet sich nicht von der, die bei anderen Herstellern zum Einsatz kommt: Die Regeln werden „von oben nach unten“ durchlaufen, bis eine passende Konstellation für die aktuelle Verbindung gefunden ist. Danach wird diese Verbindung dann entweder blockiert, abgelehnt oder weitergereicht.

Firewall-Regel erstellen: Auf die gewohnte Art und Weise

Im Regelfenster legt der Administrator die Regeln hier ebenfalls gemäß den allgemeinen Gepflogenheiten jeweils mit Quell- und Zielangabe an. Die verschiedenen Orte sind logisch und verständlich benannt worden: Während „LAN“ für das interne Netzwerk und „WAN“ für Netzwerke außerhalb des lokalen Netzwerks stehen, bezeichnet „DMZ“ einen IP-Bereich, der innerhalb demilitarisierte Zone des Netzwerks definiert wurde. Schließlich gibt es noch die Bezeichnung „VPN“, die hier für SSL/TLS/IpSec-Clients steht, die sich über „WAN“ auf das Netzwerk aufschalten.

Auf diese Weise sucht das Gerät auch im VPN-Traffic nach Malware und Angriffen. Dabei handelt es sich um eine Technik, die vom Hersteller als „TFT (Threat Free Tunneling)“ bezeichnet wird: Sie bietet die Möglichkeit, eine identitätsbezogenen Regelsteuerung für Ziele und Anwendungen einzusetzen.

Die Stateful Inspection Firewall mit Intrusion Detection und Applikations-Management wurde unter anderem vom ICSA-Labs zertifiziert. In unseren Test konnte die Firewall überzeugen: So haben wir eine doppelte Vulnerabilitäts-Analyse mit „neXploit“ durchgeführt, die aber ebenso erfolglos verlief wie verschiedene DoS-Attacken, die wir von außen gegen die Appliance absetzen. Auch weniger verbreitete Scanner oder der Netzwerk-Scanner des Apple MacOS-Systems konnten keine Lücke oder einen versehentlich geöffneten Port aufzeigen.

Das Intrusion Prevention System (IPS) in der kleinen Appliance verfügt laut Hersteller über 3000 automatisiert aktualisierte Signaturen, die jeden Angriff oder Eindringversuch aufzeigen sollen. Neben dem klassischen Port-Filtering erlaubt die CR15wi eine „Deep Packet Inspection“ (DPI), bei der gezielt Applikationen und Protokolle, beispielsweise das Messaging-Protokoll Jabber, Spiele wie Half-Life-2 oder aber Lösungen wie Twitter oder Skype gezielt blockiert werden können. Darüber hinaus hat der Hersteller einen Virenschutz und eine Bandbreitensteuerung integriert – viel Potential, das so auch für den kleineren Geldbeutel zur Verfügung steht.

Frank-Michael Schlede/ Thomas Bär

Pro:

– Leistungsfähiges System mit vielen Schutzfunktionen.
– sehr gutes Preis/Leistungsverhältnis

Kontra:

– Hersteller ist noch im Aufbau, was die Support- und Vertriebsstruktur in
  Deutschland und Europa angeht
– keine Dokumentation in deutscher Sprache erhältlich

Kontakt:
Weitere Informationen auf der Web-Seite von Cyberoam: www.cyberoam.com/de

Preis:
Preise beginnen bei circa 500, – Euro in Abhängigkeit vom gewählten Leistungsumfang der Appliance

Lesen Sie auch