Sicherheit aus einer Box – Funktionen, Kriterien und Übersicht zu UTM-Appliances - Teil 2

In meinem ersten Teil haben Sie bereits die Vorteile einer UTM-Appliance kennengelernt --> http://www.security-dome.eu/UTM-Appliance_Teil_1.html

Themen dieses Berichts (was Sie erwartet):

• Allgemein

• Zielgruppen

• Grundlegende Unterscheidungsmerkmale Hardware --> Gehäuse / Anzahl der WAN-Ports / Anzahl der LAN-Ports / RS232-Serial Port / ISDN-Dailup Backup / Ein-/Ausschalter / 19Zoll Einbaufähigkeit / Zertifizierungen

• Lizenzen und Leistungsfähigkeit --> Zugriffslizenzen / Durchsatzvolumen / Gleichzeitige Verbindungen / Weitere Parameter

• Grundlegende Unterscheidungsmerkmale Software

• Firewall

• Anti-Virus --> Scanmethode / Protokolle / Hersteller

• IDS/IPS

• Sonstige Malware

• Spam-Filter

• Web-Filter

• Interne Links

• Externe Links

Allgemein:

In diesem Teil möchte ich nun die grundlegenden Funktionsweisen und Ausstattungsmerkmale beleuchten.

Dazu habe ich primär zur Verdeutlichung folgende 3 kostengünstigsten Lösungen:

• Fortigate 50A von Fortinet

• Safe@Office 500 von Checkpoint

• Firebox X10e von WatchGuard

Zielgruppen:

Die von den Herstellern angegebenen Zielgruppen reichen von einfachen Netzwerken in kleinen Büros, Zweigstellen und Aussendienststellen, über mittlere Unternehmen, bis hin zu Grossunternehmen und Service-Providern.

Mein Fokus liegt deutlich bei den kleinen Lösungen! Trotzdem möchte ich die Unterschiede darlegen, um Ihnen die Möglichkeiten auf zu zeigen, damit Sie die Funktionen Ihren individuellen Ansprüchen anpassen können.

Grundlegende Unterscheidungsmerkmale Hardware:

Gehäuse:

Handelt es sich um ein reines „Tischgerät“ oder besteht auch die Möglichkeit eines 19 Zoll-Rackeinbaus.

Anzahl der WAN-Ports:

Manche Hersteller bieten nur einen WAN-Port für den Internetzugang (WatchGuard, Fortigate).

Sehr interessant ist aber ein zweiter WAN-Port, der bei einem Ausfall eines Providers auf eine alternative Verbindung umschalten kann (Fail-Over) oder auch den Verkehr dynamisch auf zwei Provider verteilen kann, um Engpässe zu vermeiden (Load Balancing). Diese Möglichkeit bietet die Checkpoint.

Eine weitere Möglichkeit ist das binden bestimmter Clienten an einen Provider (WAN-Binding). Dies kann z.B. sinnvoll sein, um Gruppen von Rechnern unterschiedliche Berechtigungen zu geben.

Anzahl der LAN-Ports:

Die Anzahl der LAN-Ports kann weitere Hardware überflüssig machen. Wird nur ein LAN-Port angeboten, ist ein vorgeschalteter Switch erforderlich (so z.B. bei der Fortigate).

Sowohl die WatchGuard, als auch die Checkpoint bieten aber 4 LAN-Ports, wobei die Checkpoint sogar VLAN-Funktionialität bietet (virtuelles LAN – die Abgrenzung verschiedener Adressbereiche und Subnetze).

RS232-Serial Port:

Dient der Konfiguration der Appliance über eine Terminal-Verbindung durch einen beliebigen Rechner in Anschlussreichweite. Dies bieten alle 3 Lösungen.

ISDN-Dailup Backup:

Die Möglichkeit einen ISDN-Datenkanal zu nutzen. Dies ist unter Umständen sinnvoll um:

• Bei einem DSL-Ausfall noch die geschäftskritischen Verbindungen aufrecht zu halten, wenn auch mit stark begrenztem Datendurchsatz

• Eine geschützte Remote-Verbindung aufzubauen, indem nur ganz bestimmte Telefonnummern akzeptiert werden und die Appliance sogar die Telefonnummer zurückruft, um Nummernfälschung (Spoofing) auszuschliessen.

Dies bietet die Checkpoint.

Ein-/Ausschalter:

Auch dies ist eine sinnvolle Einrichtung, um nicht den Netzstecker suchen und ziehen zu müssen. Dies bietet keine der 3 Lösungen.

19Zoll Einbaufähigkeit:

Auch wenn es sich bei den 3 genannten Lösungen um „Tischmodelle“ handelt, sollte man auf eine (evtl. optionale) Möglichkeit achten, das Gerät über spezielle Halter oder Rahmen in einen 19Zoll Netzwerkschrank einbauen zu können.

Zertifizierungen:

Natürlich sollten alle Lösungen Normen und Richtlinien für elektrische Geräte einhalten. Zusätzliche Zertifizierungen können ein Merkmal für besondere Sicherheit darstellen.

Lizenzen und Leistungsfähigkeit:

Zugriffslizenzen:

Ein Hauptmerkmal ist mit Sicherheit die Anzahl der Benutzer, die geschützt werden können. In der Regel definieren sich die Benutzer über die IP-Adresse. D.h. 5 Benutzer = 5 unterschiedliche IP-Adressen (Client-Rechner).

Die Lizenzen in der Basisaustattung gehen dabei von 5 (Checkpoint), über 15 (WatchGuard) bis unendlich (Fortigate).

Durchsatzvolumen:

Das Durchsatzvolumen (primär der Firewall – sekundär aber auch der VPN-Funktion) zeigen die Leistungsfähigkeit der Hardware. Somit werden natürlich auch die Lizenzen indirekt begrenzt!

Eine unbegrenzte Benutzerzahl ist nicht wirklich unbegrenzt, wenn die Geschwindigkeit nur für eine bestimmte Anzahl paralleler Verbindungen ausgelegt ist.

Die Volumen der Firewall gehen dabei von 50 Mbps (Megabyte per second) bei der Fortigate bis hin zu 100 Mbps bei der Checkpoint und der WatchGuard.

Gleichzeitige Verbindungen:

Auch durch diesen Parameter wird die Anzahl der Zugriffslizenzen relativiert. So sind bei der WatchGuard 6.000, der Checkpoint 8.000 und der Fortigate 25.000 gleichzeitige Verbindungen technisch möglich.

Weitere Parameter:

Zusätzliche Leistungsmerkmale sind z.B.

• gleichzeitige VPN-Tunnel

• VPN-Durchsatzvolumen

• Anzahl der gleichzeitigen Remote-Verbindungen

• Anzahl der definierbaren Berechtigungen für die Administration der Appliance

• Anzahl der möglichen Richtlinien

• Usw.

Grundlegende Unterscheidungsmerkmale Software:

Die wichtigsten Merkmale bei einer UTM-Appliance sind sicherlich die Firewall und der Virenschutz. Diese sollten besonders intensiv verglichen werden. Aber auch die anderen Ausstattungsmerkmale sind wichtig für die zusätzliche Sicherheit.

Dazu zählen:

• Firewall

• Virenscanner

• IPS/IDS

• Sonstige Malware

• Spam-Filter

• Web-Filter

Firewall:

Vier Punkte sind hier besonders wichtig:

• Die Art der Firewall und damit die Wirksamkeit

• Die Konfiguration der Firewall und damit die intuitive Regelerstellung zur Vermeidung von Fehlern

• Das Logging und damit die Auswertung von Angriffen und die schnelle Reaktion

• Meldung von besonderen Ereignissen mindestens über E-Mail, aber evtl. auch über Netzwerknachrichten, SMS oder automatisierte Anrufe

Eine Stateful Inspection Firewall (zustandsabhängiger Paketfilter) sollte auf jeden Fall geboten werden! Zur Erklärung lesen Sie bitte folgenden Bericht --> „Interne Links“

Das Verständnis für die Konfiguration und das Logging können nicht pauschal von einer Person auf eine andere übertragen werden, da sie individuell empfunden werden. Wichtig ist aber klare Unterteilung, farbliche Unterscheidung, ein- und ausblenden von Details, evtl. Konfigurationsassistenten und die Möglichkeit Syslog-Server zu unterstützen, bzw. Logs in Datenbanken oder Excel zu exportieren.

Zeitnahe automatische Meldungen zu wichtigen System- und Netzwerkereignissen sind extrem wichtig, um schnell reagieren zu können!

Ausserdem sollte die Firewall aktiv mit anderen Komponenten zusammen arbeiten.

Diese Kooperation kann z.B. sein:

• Regelerstellung aus einer Angriffserkennung des IDS/IPS heraus

• Regelerstellung aus einem Virenfund im Datenstrom (Blockierung der Webseite)

Anti-Virus:

Wichtige Kriterien:

• Scanmethode

• Protokolle

• Hersteller

Scanmethode:

Speziell bei UTM-Appliances gibt es zwei prinzipielle Techniken, wie der Datenstrom nach Viren durchsucht wird:

• Store-and-Forward- oder auch Proxy-Methode

• Steam-Based-Scanning

Die Unterschiede der beiden Techniken sind sehr gross und ziehen Vor- bzw. Nachteile mit sich. Auf die Techniken werde ich im Bericht Teil 3 genauer eingehen --> „Interne Links“.

Ebenfalls ein wichtiges Kriterium ist die Anzahl der parallelen Scansitzungen, d.h. wie viele Daten parallel geprüft werden können.

Protokolle:

UTM-Appliances scannen den Datenstrom, d.h. bestimmte Protokolle die über das Netwerk übertragen werden.

Einige Protokolle müssen nicht geprüft werden, da sie keine Viren enthalten können. Insbesondere sind das Protokolle, die reine Zustände übergeben, welche nicht aktiv zur Ausführung gebracht werden können.

Es gibt aber einige Protokolle bzw. dahinter stehende Dienste oder Anwendungen, die den Datenstrom aktiv ausführen können. Als Beispiel sei hier die E-Mail oder der Browser genannt.

Der Umfang der überwachten Protokolle ist dabei von Hersteller zu Hersteller unterschiedlich. Auch gibt es Protokolle, deren Prüfung sehr aufwendige Techniken verlangt, die nur in Enterprise-Produkten geboten werden. Ein typisches Beispiel für ein aufwendiges Protokoll ist SSL (Verschlüsselter Datenverkehr von Webservern) über HTTPS.

Folgende Protokolle sollten aber mindestens geprüft werden (was auch Check Point, Fortigate und WatchGuard bieten):

• HTTP: Internet Browsing

• POP3: Empfangen von E-Mails

• FTP: Datenaustausch

Zusätzliche wichtige Protokolle sind:

• SMTP: Ausgehende E-Mails (Fortigate und Checkpoint)

• IMAP: neueres Protokoll für eingehende E-Mails (Fortigate und Checkpoint)

• NBT: (Check Point)

Die Check Point lässt sogar zu, frei definierbare UDP und TCP Ports zu prüfen!!

Diese Möglichkeit bietet eine hohe Flexibilität, sollte aber auch bedacht gewählt werden! Es bringt nichts, alle Protokolle zu prüfen. Insbesondere Protokolle, die verschlüsselt sind bringen kein Vorteil, da dafür eine spezielle Entschlüsselungstechnik nötig ist, um die entschlüsselten Daten zu prüfen.

Hersteller:

Hierüber definiert sich der Hersteller der Scan-Engine. Dies kann eine Eigenentwicklung oder auch ein Produkt von einem Fremdhersteller sein. Beide Möglichkeiten haben ihre Vor- und Nachteile.

Obwohl die Mehrzahl der verschiedenen Scan-Engines recht hohe Erkennungsraten haben, gibt es doch wichtige Kriterien, die im Fall der Fälle entscheidend für die Sicherheit sind!

Die Auswahl fällt nicht leicht, da man den Markt beobachten muss, um eine Langzeittendenz zu haben! Dabei sollte man unbedingt darauf achten, dass Hersteller eine durchgehend gute Leistung über einen langen Zeitraum bieten.

Folgende Kriterien sind im Einzelnen wichtig:

• Erkennungsrate

• Reaktionszeit (Zeitspanne von der Entdeckung neuer Viren, bis zur Verfügbarkeit von Signaturen)

• Support

• Update-Häufigkeit

• International arbeitende Virenlabors

Manche Hersteller bieten in ihren UTM-Appliances sogar mehrere parallel arbeitende Viren-Engines von unterschiedlichen Herstellern an. Dies bringt Vorteile!

IPS/IDS:

Bei IPS/IDS-Lösungen sind insbesondere die Hersteller sehr wichtig, da der Markt recht jung ist, und sich erst noch konsolidieren muss.

Hier sollte man auf Hersteller achten, die eine gewisse Marktstärke und –stabilität haben.

Zusätzliche Punkte sind:

• Interaktion mit der Firewall

• Updatehäufigkeit der Signaturen und der Software

• Anzahl/Umfang der Signaturen

Sonstige Malware:

Es gibt nicht nur Viren, ganz im Gegenteil!

Die Anzahl der Viren ist gerade im Jahr 2006 stark zurückgegangen. Den stärksten Zuwachs verzeichnen Trojaner, Keylogger und Backdoors.

Gerade für diese Malware müssen gute Erkennungsraten geboten werden!

Aber auch Spy- und Adware nimmt an Bedrohungspotential stark zu und kann die Sicherheit extrem gefährden!

Die Lösung sollte also möglichst vollständig die verschiedenen Arten von Malware erkennen! Auch hier geben Tests über einen möglichst langen Zeitraum gute Entscheidungskriterien.

Spam-Filter:

Spam (aber auch Phishing) ist immer noch eine der umfangreichsten Bedrohungen und nimmt ständig zu. Hier sind nicht nur Black- und Whitelisten sinnvoll, sondern es gibt noch mehr Techniken, die sehr gut arbeiten (besonders in der Kombination)!

Auf diese Techniken werde ich noch im Einzelnen eingehen --> „Interne Links“.

Web-Filter:

Auch Web-Filter sind eine gute Lösung vorbeugend Bedrohungen zu vermeiden.

Werden Web-Seiten direkt in der Appliance blockiert, kann keine Bedrohung von dieser Web-Seite in das interne Netzwerk eindringen.

Auch hier gibt es verschiedene Techniken:

• Filter nach Namen

• Filter nach IP-Adressen

• Filter nach Schlagworten für den Inhalt

• Automatische Filter über Blacklisten

Hier ist es durchaus sinnvoll, das Blacklisten von bekannten Anbietern automatisch geladen werden, denn eine manuelle Eingabe oder Konfiguration ist zu umständlich und zeit intensiv!

Dieser Bericht befasste sich mit grundlegenden Funktionen, die jede UTM-Appliance bieten sollte.

In weiteren Teilen werde ich auch auf Enterprise Produkte eingehen, um Ihnen die technischen Möglichkeiten auf zu zeigen.

In meinem nächsten Teil werde ich unter anderem näher auf die verschiedenen Scantechniken eingehen!

Interne Links:

Teil 1 – UTM-Komplette Sicherheit aus einer Box: http://www.security-dome.eu/UTM-Appliance_Teil_1.html

Teil 2 – UTM-Funktionen, Kriterien und Übersicht: dieser Bericht

Teil 3 – UTM-Anti-Virus Scanmethoden: http://www.security-dome.eu/UTM-Appliance_Teil_3.html

Teil 4 – UTM-Erweiterte Funktionen und technische Möglichkeit: http://www.security-dome.eu/UTM-Appliance_Teil_4.html

Teil 5 – UTM-Software-Lösung als Alternative: http://www.security-dome.eu/UTM-Appliance_Teil_5.html

Router Grundlagen: http://www.security-dome.eu/Router_Grundlagen_Teil_1.html

Teil 1 – UM–Grundlagen zu E-Mail Gefahren: http://www.security-dome.eu/UM-Spamgrundlagen_Teil_1.html

Teil 2 – UM–Techniken zur Spam-Erkennung: http://www.security-dome.eu/UM-Spamerkennung_Teil_2.html

Teil 3 – UM–Erweiterte E-Mail Gefahren: http://www.security-dome.eu/UM-Erweiterte_Spamgefahren_Teil_3.html

Externe Links:

Fortigate 50A/100: http://www.cosinus24.de/images/Datenbaetter/Fortigate/FGT50A.pdf

Checkpoint Safe@Office 500: http://www.checkpoint.com/products/safe@office/safe@office_chart.html

WatchGuard Firebox X10e: http://www.watchguard.com/products/compare_results.asp?p1=x10e&p2=x20e&p3=x55e

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/

Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 16.01.07

Letzte Aktualisierung: 16.01.07

<-- Zurück zu den News