UTM – Software-Lösung als Alternative – Teil 5
In meiner Berichtsserie über UTM-Appliances Teil 1 bis 4 habe ich Ihnen die Möglichkeiten von speziellen Hardware-Lösungen vorgestellt. Diese Teile finden sie unter „Interne Links“.
Themen dieses Berichts (was Sie erwartet):
Allgemein
Arten von Software-UTM-Lösungen
Grundsätzliche Überlegungen
Fertige Software-Lösungen von Herstellern, die auch Hardware-Lösungen anbieten
Vollständiger Eigenbau bzw. selbständige Konfiguration der Software-UTM --> Updates / Logfiles
Virtuelle Software-UTM`s --> Virtual Appliances Marketplace
Vorteile und Nachteile der unterschiedlichen Software-UTM`s
Allgemeine Vor- und Nachteile --> Vorteile / Nachteile / Weitere baulich bedingte Nachteile sind
Vor- und Nachteile von fertigen Lösungen von Herstellern für UTM-Appliances --> Vorteile / Nachteile
Vor- und Nachteile von Eigenentwicklungen --> Vorteile / Nachteile
Vor- und Nachteile von virtuellen UTM`s --> Vorteile / Nachteile / Cluster
Spezieller Tip für zusätzliche Sicherheit einer Software-UTM
Abschluss
Interne Links
Externe Links
Allgemein:
Neben speziellen Hardware-Lösungen, gibt es aber auch die Möglichkeit eine reine Software-Lösung zu realisieren.
Für diese Software-Lösung sind meine Ausführungen und Tipps ebenso gültig, natürlich ohne die speziellen Tipps zur Hardware.
Bei reinen Software-Lösungen sind ganz spezielle Schwierigkeiten zu bewältigen. Bevor ich aber auf diese Schwierigkeiten bzw. Vor- und Nachteile eingehen möchte, hier ein kurzer Überblick über die verschiedenen Möglichkeiten.
Arten von Software-UTM-Lösungen:
Man kann folgende 3 Arten oder Möglichkeiten unterscheiden:
Fertige Software-Lösung von Herstellern, die auch Hardware-Lösungen anbieten
Vollständiger Eigenbau bzw. selbständige Konfiguration der Software-UTM
Virtuelle Software-UTM`s
Grundsätzliche Überlegungen:
Da eine Software-UTM eine bestehende Hardware voraussetzt, sollte diese Hardware bereits zur Verfügung stehen. Die Anschaffung einer speziellen Hardware ist meist nicht empfehlenswert, da dann die Gesamtkosten eine fertige UTM übersteigen.
Ist bereits die Hardware vorhanden, sollte die Leistungsfähigkeit geprüft werden. Auch wenn eine UTM keine übermässigen Anforderungen an die Rechenleistung stellt, ist eine veraltete Hardware nicht unbedingt geeignet.
Ausserdem sollten alle Hardwarekomponenten auf ihre Kompatibilität geprüft werden! Hier helfen evtl. die Hersteller der Software-UTM weiter bzw. geben Empfehlungen.
Weiterhin sollte den benötigten Treibern ein grosses Mass an Interesse und Überprüfung gelten!
Nicht selten gibt es ausnutzbare Schwachstellen in Treibern, die die komplette Sicherheit der UTM kompromittieren.
Fertige Software-Lösungen von Herstellern, die auch Hardware-Lösungen anbieten:
Einige Hersteller bieten spezielle Software-UTM`s an. Als Beispiel, aber nicht komplette Aufzählung, wären hier zu nennen:
Astaro
VaySys (PacketAlarm)
Alladin
Usw.
Diese Lösungen beinhalten oftmals ein fertiges Betriebssystem mit entsprechenden PlugIns für die eigentlichen Schutzfunktionen.
Sie bieten normalerweise den gleichen Funktionsumfang wie die Hardware-UTM des Herstellers. Natürlich sind auch hier die PlugIns entsprechend zu lizenzieren.
Vollständiger Eigenbau bzw. selbständige Konfiguration der Software-UTM:
Diese Alternative sollte nur in Betracht kommen, wenn umfangreiche Kenntnisse vorhanden sind!!
Der Aufbau einer eigenen UTM ist absolut nicht trivial und benötigt ein hohes Mass an Planung!
Insbesondere folgende Punkte sind dabei in Reihenfolge zu beachten:
Auswahl der richtigen Hardware
Auswahl und Prüfung des Betriebssystemes (zumeist ein Linux-Derivat)
Prüfung der Hardware-Treiber auf Kompatibilität und Schwachstellen
Auswahl und Prüfung der notwendigen PlugIns
Installation des Betriebssystems
Sichere Konfiguration des Betriebssystems (Härten des OS)
Installation der Treiber
Installation der PlugIns
Prüfung der Lösung (Pen-Tests, bzw. Audits)
Sie sehen, bereits der Aufbau einer solchen Lösung ist sehr umfangreich, noch bevor sie in Betrieb genommen werden kann.
Aber auch der Betrieb ist mit sehr viel umfangreicherer Pflege und Überwachung verbunden:
Ständige Kontrolle auf Updates (OS, Treiber, PlugIns)
Zeitnahes Einspielen der Updates und Kontrolle / Prüfung auf Kompatibilität
Ständige Kontrolle der verschiedenen Log-Files (Berichte)
Diese Punkte sind extrem wichtig für einen sicheren Betrieb und die Aufrechterhaltung des Schutzes.
Updates:
Im Gegensatz zu einer fertigen Lösung müssen hier alle Bereiche (OS, Treiber und PlugIns) ständig und einzeln auf Updates kontrolliert werden. Bei einer fertigen Lösung werden Updates zentral über ein Update einer neuen Version eingepflegt.
Aber das zeitnahe Update auf der einen Seite und die Kompatibilitätskontrolle auf der anderen Seite stehen im Widerspruch.
Bei einer fertigen Lösung wird dies von der Entwicklungsabteilung geprüft und freigegeben.
Log-Files:
Bei einem Eigenbau werden die Logdateien der verschiedenen PlugIns oftmals nicht zentral gesammelt und dargestellt. Hier hat jedes PlugIn seine eigene Log-Datei, welche regelmässig geprüft werden müssen.
Virtuelle Software-UTM`s:
Ein möglicher Kompromiss zwischen fertiger und einer eigenen Lösung kann der Aufbau einer virtuellen Maschine als UTM sein.
Als Plattform kommen folgende Produkte in Frage:
VMWare
Virtual PC / Server
VMWare bietet Vorteile in der Unterstützung unterschiedlichster Betriebssysteme sowohl als Gast-, wie auch als Hostsystem.
Dagegen ist Virtual PC / Server Freeware.
Aber auch VMWare bietet mit dem VMWare-Player und dem VMWare-Server Freeware-Produkte an.
Der grundlegende Vorteil ist, dass in der virtuellen Maschine Standard-Hardware emuliert wird. Die Pflege der Treiber wird damit vereinfacht, da nur noch „Treiberpakete“ geladen werden müssen (bei VMWare die VM-Tools).
Prinzipiell bietet eine virtuelle Umgebung folgende Integrationsmöglichkeiten:
Fertiges und kommerzielles Software-Produkt von einem Hersteller für UTM-Appliances
Eigenentwicklung mit eigenem Betriebssystem und PlugIns
Fertige, vorkonfigurierte und manchmal frei erhältliche virtuelle Maschinen über den „Virtual Appliances Marketplace“ von VMWare.
Virtual Appliances Marketplace:
Eine Gemeinschaft, die durch VMWare gepflegt wird. Hier finden sich unzählige fertige Lösungen für alle Ansprüche. Von reinen Mailgateways über Auditing-System bis hin zu UTM-Appliances.
Diese Lösungen sind nicht selten kostenfrei verfügbar, wurden speziell konfiguriert und beinhalten oftmals schon die notwendigen Treiber (VM-Tools).
Teilweise sind diese Lösungen sogar zertifiziert.
Der „Virtual Appliances Marketplace“ bietet verschiedene Kategorien, wobei hier insbesondere die Bereiche „Operating System“ und „Security“ interessant sind.
Eine sehr interessante und mitunter kostengünstige Möglichkeit!
Prüfen sollte man aber unbedingt:
Lizenzbedingen
Sicherheit der Lösung
Individuelle Ansprüche
Vorteile und Nachteile der unterschiedlichen Software-UTM`s:
Zum Abschluss möchte ich Ihnen noch die Vor- und Nachteile der verschiedenen Lösungsansätze aufzeigen, welche nicht den Anspruch der Vollständigkeit beanspruchen!!
Allgemeine Vor- und Nachteile:
Vorteile:
Zumeist kostengünstiger
Oftmals flexibler auf die eigenen Ansprüche einzurichten
Weitestgehende Unabhängigkeit von Herstellern (ausser bei fertigen Lösungen)
Geringere Lizenzkosten (durch Nutzung freier Virenscanner, IDS / IPS-Systeme)
Leichterer Hardwaretausch bei Defekten von Einzelkomponenten
Nachteile:
Supportprobleme
Platzintensiv
Umfangreiches Fachwissen bei Planung, Aufbau und Pflege erforderlich
Nicht spezialisierte Hardware (z.B. Prozessor usw.)
Auf den Punkt „Platzintensiv“ möchte ich besonders eingehen!
Fertige UTM-Appliances sind entweder als kleines Tischmodell oder als 19Zoll-Appliance aufgebaut, wobei die 19Zoll-Appliance oftmals nur eine HE (Höheneinheit) im Netzwerkschrank verbraucht.
Um z.B. die Portdichte einer fertigen Appliance von 4-8 Ethernet-Ports zu realisieren, muss man entweder ein normales Desktop-Gehäuse oder ein mehrere HE grosses Gehäuse verbauen.
Weitere baulich bedingte Nachteile sind:
Höhere Wärmeentwicklung und damit mehr Platzbedarf oder spezielle Kühllösungen
Bei Desktop-Gehäusen kritischer Zugangsschutz (eine UTM gehört zu den geschäftskritischsten Anlagen und sollte immer speziell vor dem unbefugten Zugriff geschützt werden
Netzwerkanschlüsse sitzen auf der Geräterückseite und sind damit schlecht zugänglich
Höherer Stromverbrauch
Vor- und Nachteile von fertigen Lösungen von Herstellern für UTM-Appliances:
Vorteile:
Kostengünstiger wie die Hardwarelösung bei vergleichbarer Leistung, Konfiguration, Bedienung und Verwaltung
Nachteile:
Beachtung von unterstützter Hardware erforderlich
Supportprobleme, da evtl. Fehler auf die Hardware geschoben werden
Hardware wird nicht so effektiv ausgenutzt
Hardware ist nicht auf den speziellen Einsatz optimiert
Vor- und Nachteile von Eigenentwicklungen:
Vorteile:
Sehr flexibel konfigurierbar
Keine Abhängigkeit bei der Auswahl der Hersteller für die PlugIns
Höherer Investitionsschutz durch Wechselmöglichkeiten der Hersteller für die PlugIns
Einfache Einbindung neuer Funktionen
Einfache und kostengünstige Hardware-Upgrades
Nachteile:
Sehr aufwendige Planung, Entwicklung und Umsetzung
Sehr aufwendige Pflege und Kontrolle
Hoher Grad an Fachwissen erforderlich
Hohe Gefahr von Fehlkonfigurationen
Vor- und Nachteile von virtuellen UTM`s:
Virtuelle UTM`s haben prinzipiell die gleichen Vor- und Nachteile wie sie auch die Lösungen, die Sie virtualisieren wollen, haben!
Es gibt aber noch einige weitere zu nennen.
Vorteile:
Einfaches Clustering (entsprechende leistungsstarke Hardware vorausgesetzt)
Effiziente Ausnutzung von Hardwarekapazitäten
Kein erhöhter Stromverbrauch
Kein erhöhter Platzbedarf
Einfache Rücksetzung der Konfiguration durch Snap-Shot Technik
Nachteile:
Sicherheitstechnische Abhängigkeit vom Hostsystem (dies muss auch speziell gesichert sein, denn wird das Hostsystem kompromittiert, muss dies auch für die virtuelle Instanz angenommen werden
Ein Hardwareausfall gilt gleichzeitig für das Hostsystem, wie auch für das/die Gastsystem(e)
Systembelastungen können sich gefährlich auf die Sicherheit auswirken (verbraucht ein Dienst des Hostsystems die meiste Rechenkapazität, kann auch das Gastsystem nicht mehr korrekt arbeiten)
Auf den Punkt „Clustering“ möchte ich noch kurz eingehen!
Cluster:
Unter einem „Cluster“ versteht man den Zusammenschluss von mehreren Systemen. Dies kann z.B. der Hochverfügbarkeit dienen. Somit wird aber auch die Hardware noch effektiver ausgenutzt!
Zusätzlich stehen kostengünstig erweiterte Funktionen zur Verfügung, wie:
Fail Over
Load Balancing
Traffic Shaping
Usw.
Allerdings ist darauf zu achten, dass auch unterschiedliche Hardwaresysteme für ein hochverfügbares Clustering eingesetzt werden müssen, um SPOF (Single Points of Failure) auszuschliessen!
Eine genaue Beschreibung von Clustern finden Sie unter den „Externen Links“.
Spezieller Tip für zusätzliche Sicherheit einer Software-UTM:
Um eine Software-UTM noch sicherer zu machen, sollte man die Möglichkeit prüfen, ob der Einsatz auch ohne beschreibbare Medien möglich ist!
Das bedeutet:
Booten von einem schreibgeschützten Medium (z.B. CD-Rom)
Speichern der Konfiguration auf ein Medium, welches über einen Schreibschutz verfügt
Während solche Lösungen für reine Firewalls schon lange möglich sind, sollte man sich speziell beim Aufbau einer Eigenentwicklung über die Realisierung dieses Punktes schon in der Planungsphase Gedanken machen!
Natürlich kann man nicht vollkommen auf einen Schreibzugriff verzichten (Laden neuer Virensignaturen) aber spezielle Konfigurationsdateien sollten umfangreich geschützt werden.
Ein möglicher Ansatz wäre, das die UTM-Software entweder von CD oder einem schreibgeschützten ISO-File gebootet wird (auch virtuell möglich).
Alle wichtigen Konfigurationsdaten (z.B. Firewallregeln) liegen auf einem USB-Stick mit schaltbarem Schreibschutz. Werden gewollte Änderungen vorgenommen, kann der Schreibschutz temporär deaktiviert werden.
Nur Dateien, die wirklich geändert werden müssen (Signaturen, Log-Files usw) sollten auf einem beschreibbaren Medium (z.B. Festplatte) gespeichert werden.
Hier ist aber besonders auf die Reduzierung der Berechtigungen für den Schreibzugriff zu achten!
Man kann z.B. jedem Dienst ein eigenes Konto zuordnen, sodass er nicht mit allmächtigen Systemrechten läuft. Nun kann man nur diesem Konto den Schreibzugriff auf diese Ordner/Dateien gewähren (z.B. dem Virenscanner den Ordner für die Signaturupdates).
Abschluss:
In dieser fünfteiligen Serie über UTM-Appliances haben Sie nun eine Menge an wissenswerten Details zu den Funktionen, Schutzmöglichkeiten und den verschiedenen Arten gelesen.
Ich hoffe ich habe Ihnen damit eine wertvolle Wissensgrundlage für Ihre Kaufentscheidung gegeben!
Selbstverständlich unterliegen alle Teile meinem Copyright! Wenn Sie diesen Bericht auf Ihrer Homepage oder einem anderen Medium verfügbar machen möchten, bitte ich um eine Verlinkung auf diesen Bericht, bzw. das Einholen einer Genehmigung durch mich!
Interne Links:
Teil 1 – UTM-Komplette Sicherheit aus einer Box: http://www.security-dome.eu/UTM-Appliance_Teil_1.html
Teil 2 – UTM-Funktionen, Kriterien und Übersicht: http://www.security-dome.eu/UTM-Appliance_Teil_2.html
Teil 3 – UTM-Anti-Virus Scanmethoden: http://www.security-dome.eu/UTM-Appliance_Teil_3.html
Teil 4 – UTM-Erweiterte Funktionen und technische Möglichkeiten: http://www.security-dome.eu/UTM-Appliance_Teil_4.html
Teil 5 – UTM-Software-Lösung als Alternative: dieser Bericht
Externe Links:
VarySys (PacketAlarm): http://www.packetalarm.de/
Astaro: http://www.astaro.de/
Alladin: http://www.alladin.de/
VMWare: http://www.vmware.com/
VMWare Freeware Produkte: http://www.vmware.com/products/free_virtualization.html
VMWare Virtual Appliances Marketplace: http://www.vmware.com/vmtn/appliances/
Virtual PC: http://www.microsoft.com/windows/virtualpc/default.mspx
Virtual Server: http://www.microsoft.com/germany/virtualserver/default.mspx
Beschreibung Cluster: http://de.wikipedia.org/wiki/Computercluster
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 01.02.07
Letzte Aktualisierung: 01.02.07