Keine Chance für Angreifer: Acht Firewalls im Test

Firewalls werden ständig intelligenter, aber heißt das auch, dass sie zugleich immer schwerer zu verwalten sind? In diesem Test werden acht Firewall-Anwendungen genauer unter die Lupe genommen.

Bei über 65.000 Ports, die an jedem System zur Verfügung und damit auch Eindringlingen potenziell offen stehen können, wird Firewalls eine beträchtliche Leistung beim Blockieren von Ports abverlangt. Sobald es jedoch um erweiterten Netzwerkschutz geht, ist das Blockieren von Ports nur die Spitze des Eisbergs. Zahlreiche IT-Abteilungen handeln heute auf sehr viel aktivere Art und Weise und verfolgen die schwerwiegenderen Versuche, ihre Sicherheit zu kompromittieren, zum Urheber zurück. Die meisten getesteten Firewalls unterstützen zudem VPN-Verbindungen (Virtual Private Network), die mithilfe des Point-to-Point Tunneling Protocol (PPTP) hergestellt werden und verschiedene Verschlüsselungsstufen wie DES, 3DES und AES umfassen.

Ganz ähnlich wie viele aktuelle Antivirus-Anwendungen unterstützen einige dieser Firewalls nun "schwarze Listen". Dabei handelt es sich um Datenbanken von “hackerfreundlichen” IP-Adressen und Domainnamen, welche der Firewall hinzugefügt werden können, um Verbindungen zu und von diesen Systemen explizit abzublocken. Im Umgang mit diesen Datenbanken Vorsicht geboten, denn sie könnten einige IP-Bereiche blockieren, die zur Durchleitung erforderlich sind. Dies kann Unterbrechungen des Datenverkehrs mit sich bringen.

Firewalls können jedoch viel mehr, als nur IP-Adressen und Ports blockieren. Sie sind außerdem in der Lage, intelligent mit ein- und ausgehenden Daten umzugehen und diese auf verdächtige Merkmale zu überwachen, die Hinweise auf potenzielle Versuche, die Netzwerksicherheit zu verletzen, liefern könnten. Tatsächlich ist genau dies der Punkt, an dem Firewalls voll zur Geltung kommen und sich als entscheidende Komponente der Netzwerksicherheitsregeln im Unternehmen erweisen können. Zahlreiche Sicherheitsadministratoren sehen die Firewall daher heute als den zentralen Punkt ihrer Sicherheitsrichtlinien und viele Firewall-Anbieter springen derzeit auf diesen Zug auf und bieten zusätzliche Funktionen für andere Sicherheitsmaßnahmen an, die traditionell von anderen Geräten oder Softwareanwendungen abgedeckt wurden.

So viel Konvergenz und Sicherheit mag zwar auf den ersten Blick wie die ideale Lösung erscheinen, jedoch sollte man dabei ein paar Dinge bedenken. Bevor man sich auf ein solches Gerät einlässt, sind Aspekte wie der Verwaltungsaufwand und Einbußen bei der Netzwerk-Performance in Betracht zu ziehen und zu untersuchen.

Manche Firewalls beinhalten heute die so genannte Stateful Packet Inspection (SPI) sowie eine vereinfachte Form der Datenüberprüfung. Dabei werden die Daten Paket für Paket überprüft und zwar je nachdem, ob die Firewall die Daten als legitim einstuft oder nicht. Alle verdächtigen oder unaufgefordert eintreffenden Datenpakete werden dabei markiert, protokolliert oder einfach abgelehnt. Aus diesem Grunde dürfen die Datenpakete nur dann die Firewall passieren, wenn sie mit einer gültigen Sitzung assoziiert werden können, die innerhalb des Netzwerks eingeleitet wurde.

SPI-Firewalls können ihre Fähigkeiten voll ausspielen, wenn sie in Kombination mit anderen Methoden zur Datenüberprüfung innerhalb der Firewall oder in einer anderen im LAN befindlichen Firewall eingesetzt werden. SPI bietet ein gewisses Maß an Sicherheit, ohne die Performance im Netzwerk zu beeinträchtigen. Würde ein großes Unternehmen sein Firmennetzwerk schützen wollen und dazu sämtliche ein- und ausgehende Datenpakete erfassen, protokollieren, auf Auffälligkeiten überprüfen und anschließend zum Urheber zurückverfolgen, hätte dies schlicht inakzeptable Auswirkungen auf die verfügbare Bandbreite im Netzwerk. SPI kann (was allerdings auch keine ideale Lösung ist) diese Einbußen verringern, während gleichzeitig andere Sicherheitstechniken implementiert werden, die sich um die Defizite von SPI kümmern. SPI eignet sich gut als zusätzliche Technologie für den Schutz einer “demilitarisierten Zone” beziehungsweise eines Netzwerks, in dem manche Rechner oder Server öffentlichen Zugriff benötigen, denn es verfügt über die Fähigkeit, bestimmten individuellen IP-Adressen oder Segmenten im LAN geöffnete Ports zu erlauben. Dies gibt dem Administrator die Möglichkeit, aus einer Liste von Ports genau diejenigen auszuwählen, die auf der IP-Adresse jedes beliebigen Rechners im LAN geöffnet oder geschlossen werden sollen.

Um kurz die schnelle technische Entwicklung von Firewalls aufzuzeigen sind hier nur ein Teil der Möglichkeiten heutiger Geräte aufgeführt. Interessanter sind jedoch die Tests bei welchen Produkte der Hersteller Lucent, Netgear, Netscreen, Nokia, Nortel, Symantec, 3Com, Trend Micro und Watchguard geprüft wurden.

Die Firewall von Lucent basiert auf einer AMD K6-2 350 CPU und sie lädt ein proprietäres Betriebssystem. Zu Beginn versuchte das Gerät, eine Verbindung zu einem Audit- und einem Admin-Server aufzubauen.

Dies war der Punkt, an dem das Testteam die auf CD bereitgestellte Dokumentation zurate zog. Ebenfalls auf dieser CD befand sich der Lucent Security Management Server (LSMS), der eine über HTTP oder über HTTPS zugängliche Anwendung installiert, welche es Administratoren erlaubt, über einen Browser von jedem beliebigen PC aus auf die Administrationskonsole zuzugreifen. Diese Routine wirkt zwar etwas langatmig, die zugrunde liegende Absicht ist es jedoch, mehrere Firewalls von einer einzigen Konsole aus verwalten zu können.

Nachdem der LSMS installiert ist, legt der Administrator eine neue Instanz an und richtet die Parameter der Brick ein, wie zum Beispiel ihre IP-Adresse und ihre Bezeichnung. Diese Angaben werden auf eine Diskette geschrieben, die nachdem sie in das Diskettenlaufwerk der Brick eingelegt wurde, zur Aktualisierung des Flash-Speichers des Geräts dient. Anschließend ist der Zugriff auf die Brick über ihre IP-Adresse möglich und anhand des LMSS können sämtliche Veränderungen bzw. Aktualisierungen der Konfiguration bequem über das Netzwerk vorgenommen werden.

An dieser Stelle sollte angemerkt werden, dass die Lucent Bricks als Multifunktionsgeräte gedacht sind, die im Grunde über dem LAN sitzen und sämtliche Daten “belauschen”, die durch sie hindurchgehen, und gemäß den vom Administrator eingestellten, vorprogrammierten Regeldatenbanken Handlungen an diesen Daten vornehmen.

Mithilfe Lucents "Brick Zone Ruleset" kann jeder einzelne Netzwerkport am Brick mit bestimmten Parametern eingerichtet werden, um beispielsweise eine geschützte Zone oder eine Administratorzone mit bestimmten Zielen zu schaffen.

Während der Tests erwies sich die Dokumentation zu dieser Firewall als problematisch. An sich ist sie zwar gut, aufgrund der veränderlichen Natur des Geräts und seiner umfangreichen Einsatzmöglichkeiten geht die Dokumentation jedoch gelegentlich bei relativ geringfügigen technischen Anpassungen und Einstellungen zu sehr ins Detail.

Preis: ca. 2395 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 8 Zukunftssicherheit 7 ROI 8 Service 6 Gesamtnote 7,25

Wie bei den meisten Netzwerkgeräten von Netgear verlaufen Setup, Konfiguration und Administration nach einem einheitlichen Muster. Mithilfe einer browserbasierten Benutzeroberfläche erhält der Administrator Zugriff auf alle erforderlichen Einstellungen.

Die Konfiguration, die zwar nicht ganz so ausführlich ist wie bei einigen Konkurrenzprodukten, bietet mit Sicherheit einen angemessenen Schutz für kleinere Unternehmen. Die leicht verständlichen, integrierten Anleitungen ermöglichen es auch den meisten Technikern, die nicht über umfassende Erfahrung auf diesem Gebiet verfügen, dieses Gerät zu konfigurieren. Besonders bemerkenswert sind die Protokoll- und Berichtsfunktionen, welche ihre Meldungen entweder über syslog auf einen separaten Protokoll-Server ablegen oder in einfachen E-Mails an die angegebene Adresse des Nutzers versenden.

Als besonders schwierig erwies sich die Umgehung der Network Address Translation (NAT) auf diesem Gerät. Dazu mussten zunächst einige spezifische statische IP-Routen eingerichtet werden, doch selbst dann wurde die NAT-Sicherheit immer noch aufrechterhalten. Dies führt nur dann zu Schwierigkeiten, wenn die Firma, die dieses Gerät einsetzt, andere öffentlich zugängliche Serverdienste wie Web- oder Mail-Server betreiben muss, aber trotzdem nicht auf den Schutz und die Protokollfunktionen verzichten will.

Insgesamt lässt sich sagen, dass die Firewall Netgear FVL328 ein einfaches, benutzerfreundliches Gerät ist, zwar nicht ganz so gut skalierbar wie andere Lösungen, aber doch für die meisten Unternehmen einen wirtschaftlich sinnvollen Einstieg in eine Sicherheitslösung darstellen kann.

Preis: ca. 945 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 8 Zukunftssicherheit 7 ROI 8 Service 7 Gesamtnote 7,5

Die Konfiguration und Administration der Firewall Netscreen NS50 erwies sich als relativ einfach und leicht verständlich. Die Zielgruppe dieses Geräts, das hervorragende Design- und Technikeigenschaften mit einer sehr anwenderfreundlichen webbasierten Benutzerschnittstelle kombiniert, ist der Markt der kleinen und mittelständischen Unternehmen. Der einzige Nachteil ist, dass die Ports nicht physisch markiert sind, was sich beim Betrieb im “Route”-Modus (Layer 3) bemerkbar macht. Dieser Mangel ist jedoch nachvollziehbar, wenn man bedenkt, dass das Gerät auch im “Transport”-Modus (Layer 2) betrieben werden kann und der Administrator die Option hat, die Ports mit unterschiedlichen Richtlinien oder Rollen neu zu definieren. Die Konfiguration wird entweder über eine Konsolenverbindung oder über eine Browser-Verbindung vorgenommen, die zum Netzwerk-Port 1 aufgebaut werden, bei dem es sich um die vertrauenswürdige LAN-Seite der Firewall handelt (in der Standardeinstellung ist Port 3 der nicht vertrauenswürdige Port).

Für Unternehmen, die gerade die Anschaffung einer neuen Firewall in Betracht ziehen, lohnt es sich sicherlich, die Firewall Netscreen 50 etwas genauer unter die Lupe zu nehmen. Die Benutzeroberfläche erinnerte sehr an die der Geräte von Trend Micro, was jedoch nicht überraschend ist, wenn man bedenkt, dass Trend Micro beim Design seiner Geräte Hilfe von Netscreen erhalten hat.

Preis: ca. 6895 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 7 Zukunftssicherheit 7 ROI 7 Service 6 Gesamtnote 6,75

Die Installation dieses Geräts verläuft sehr unproblematisch. Dabei kann der Administrator eine Konsolenverbindung zum Gerät aufbauen und den Rechnernamen, Netzwerkports, IP-Adresse und andere Angaben definieren. Anschließend kann er auf ein browserbasiertes System wechseln.

Diese Nokia-Firewall gehört zu den besser ausgestatteten Geräten in diesem Test und es scheint, als hätten ihre Entwickler nichts unversucht gelassen, um möglichst vielfältige Funktionen in diese Firewall zu integrieren. Dies hat jedoch sowohl Vor- als auch Nachteile. Einerseits kann diese Nokia-Firewall genau das richtige Produkt für Unternehmen sein, die hinsichtlich ihrer Sicherheitskonfiguration ein extremes Maß an Konfigurierbarkeit benötigen. Andererseits sind Firmen, die eher eine relativ einfache Bedienung suchen und trotzdem ein gewisses Maß an Konfigurierbarkeit und Funktionalität beibehalten wollen, vielleicht besser mit Firewalls von 3Com, Netscreen oder Watchguard beraten. Die Weboberfläche deckt bereits ziemlich viele Einzelheiten ab und außerdem steht zur Kontrolle der Sicherheitsrichtlinien bei VPN und Firewall auch die grafische Benutzeroberfläche Checkpoints zur Verfügung. Aufgrund der Flexibilität dieses Produkts, die mit der der Lucent Bricks vergleichbar ist, entschied sich das ZDNet-Testteam dagegen, spezifische Sicherheitsrichtlinien für den Test dieses Geräts zu schreiben, da dies unfair gegenüber den Geräten im Test gewesen wäre, die mit Standardskripts getestet wurden.

Die Nokia IP350 ist eine sehr gut ausgestattete Firewall, die mit Sicherheit eher für Großunternehmen konzipiert wurde oder für solche Unternehmen, die ein Höchstmaß an Konfigurierbarkeit in ihren Sicherheitsgeräten benötigen.

Preis: ca. 6664 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 8 Zukunftssicherheit 7 ROI 7 Service 7 Gesamtnote 7,25

Außer Konkurrenz: Dieses Gerät ist nichts für Unternehmen, die ein kleines Gerät suchen, das sich irgendwo in einer Ecke auf einem Server oder Router unterbringen lässt. Wer in seinem Rack noch 4U frei hat und ein wirklich großes und schnelles Netzwerk zu sichern hat, der sollte weiterlesen. Die Alteon benötigt 2U für den Alteon Firewall Accelerator selbst und zusätzlich je 1U für die beiden Server.

Da es sich hier offensichtlich um ein Sicherheitsgerät auf höchstem Niveau handelt, entschied das Testteam, dass die Einrichtung und Konfiguration dieses Geräts ohne erfahrene Techniker den Rahmen dieses Tests sprengen würde. Die Techniker von Nortel zögerten auch nicht, sofort ihre Unterstützung anzubieten, jedoch war dafür einfach nicht ausreichend Zeit vorhanden.

Firmen, die nach einer Rundumlösung für Netzwerke mit zahlreichen Fibre-Ports und hohen Durchsatzraten suchen, sollten sich die Firewall Nortel 5700 genauer anschauen.

Preis: von ca. 24.000 bis 64.000 Dollar

Die Erstkonfiguration, das heißt die Einstellung der ersten IP-Adresse, erfolgt über ein kleines LCD-Display, das an der Vorderseite des Geräts angebracht ist. Anschließend wird die Konfiguration über eine sichere Browser-Verbindung über einen speziellen Port fortgesetzt. An der Administrationskonsole ist deutlich erkennbar, dass die Symantec-Techniker viel Zeit und Arbeit investiert haben. Die Verwendung von Java führt dazu, dass die Oberfläche sehr grafisch und gut aufgebaut ist, und die Hilfe-Dokumente bieten gute Unterstützung bei der verbleibenden Konfiguration.

Während der Tests vernachlässigte das Symantec-Gerät zahlreiche Ports, was vor allem im direkten Vergleich mit den anderen getesteten Geräten recht seltsam war. Sicherheitsadministratoren haben jedoch die Möglichkeit die Regeln/Richtlinien dahingehend anzupassen, dass dieses Problem nicht mehr auftritt.

Dieses Gerät, das nicht ganz so umfassend ausgestattet ist wie die Firewalls von Nokia und Lucent, ist relativ leicht zu konfigurieren und zu verwalten. Wer nach einer Lösung für eine kleine bis mittlere Büroumgebung sucht, sollte dieses Gerät in Betracht ziehen. Besonders bemerkenswert ist seine Fähigkeit, nach Viren zu suchen.

Preis: von ca. 4936 bis zu 34548 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 8 Zukunftssicherheit 6 ROI 8 Service 7 Gesamtnote 7,25

Die Konfiguration und Administration dieser 3Com-Firewall ist sehr klar und durchdacht. Der Administrator hat zu jeder Zeit einen guten Überblick und erhält präzise Anweisungen über den jeweiligen Status des Geräts. Besonders interessant ist die Möglichkeit, jedes Mal eine Benachrichtigung per E-Mail zu erhalten, wenn ein neues Firmware-Update von 3Com für dieses Gerät erhältlich ist.

Bemerkenswert ist außerdem die Unterstützung dieses 3Com-Geräts für eine Sekundär- oder Backup-Firewall, die sich unter der Option "High Availability" im Menü einstellen lässt. Diese Funktion beinhaltet auch die Möglichkeit, beide Geräte zu synchronisieren, um sicherzustellen, dass sie jeweils mit den gleichen Einstellungen und Konfigurationen arbeiten.

Das 3Com-Gerät besitzt einen beeindruckenden Funktionsumfang, der über die Grenzen traditioneller Firewalls hinausgeht. So verfügt es beispielsweise über Tabellen und Privilegien für den Zugriff einzelner Anwender, VPN-Unterstützung, Content-Filtering, SNMP-Unterstützung sowie DHCP-Serving. Bei der Entscheidung für eine Firewall gehört dieses Gerät auf jeden Fall in die engere Auswahl jedes kleinen und mittelständischen Unternehmens.

Preis: ca. 4000 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 7 Zukunftssicherheit 7 ROI 8 Service 9 Gesamtnote 7,75

Als Trend Micro ZDNet die ersten Informationen über dieses neue Produkt mitteilte, wurde darüber nachgedacht, es nur am Rande zu erwähnen, denn seine Beschreibung schien nicht zum eigentlichen “Firewall”-Markt zu passen. Als das Gerät dann aber eintraf und die erste Einrichtung vorgenommen wurde, stellte sich heraus, dass es tatsächlich eines der beeindruckendsten Geräte in diesem Test sein dürfte. Es ist sicherlich nicht für Großunternehmen entwickelt worden; für kleinere Firmen kann dieses Gerät jedoch eine Plattform bieten, auf der sie ihre Sicherheit mit sehr geringem Aufwand verwalten können. Die Erstkonfiguration war noch einfacher als bei dem Netgear-Gerät, was für jeden Administrator, der Erfahrung im Umgang mit Netgear-Produkten hat, nur schwer vorstellbar sein wird.

Überall auf dem Gerät und in den Konfigurations-/Administrationsbildschirmen befinden sich die “Secured by NetScreen”-Logos. Es ist also überflüssig zu sagen, dass Netscreen an der Entwicklung und Implementierung mitgearbeitet hat und dass dieses Gerät offensichtlich von der Firewall-Erfahrung dieses Herstellers profitieren konnte.

Positiv anzumerken ist, dass diese Firewall dank des aktiven Update-Services von Trend Micro auch eine Antivirus-Funktion anbietet. Außerdem bietet sie sehr nützliche Berichtdienste, Benachrichtigungen per E-Mail, SNMP-Reporting, Unterstützung für externe Syslog-Berichte und sogar Berichte im Webtrends-Format.

Insgesamt handelt es sich hier um ein Paket für den Einsatz in Kleinunternehmen oder in Zweigstellenbüros, in denen eine einfache Installation/Konfiguration sowie umfangreiche Berichtsfunktionen erforderlich sind.

Preis: ca. 904 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 8 Zukunftssicherheit 8 ROI 8 Service 6 Gesamtnote 7,5

Die Installation dieses Geräts unterscheidet sich insofern von der anderer Firewalls im Test, als der Betreiber zunächst die Anwendungssoftware auf ein festgelegtes Firewall-Administrationssystem laden muss. Ist dies erledigt, führt die Software den Anwender durch eine Reihe von Fragen. Anschließend, und nachdem die Verbindungen über serielle Schnittstelle und Ethernet-Kabel hergestellt wurden, lädt die Software die Konfiguration direkt in die Firewall. Der Administrator kann den Firebox System Manager öffnen und sich mit der IP-Adresse des Geräts verbinden, um den Status der Firewall und andere Informationen einzusehen. Dieser ganze Prozess benötigte insgesamt nicht mehr als zehn Minuten, was für ein derart umfassendes Gerät wirklich beeindruckend ist.

Insgesamt handelt es sich hier um eine sehr gute Firewall mit umfangreichem Erweiterungspotenzial, die sehr leicht zu konfigurieren und zu verwalten ist. Administratoren, die gerne genau verfolgen, was in ihren System vor sich geht, werden die Echtzeit-Grafiken zu schätzen wissen.

Preis: ca. 3163 Dollar

Bewertung Kriterium Punkte(von 10) Kompatibilität 7 Zukunftssicherheit 8 ROI 7 Service 7 Gesamtnote 7,25

Produkt Lucent VPN Firewall Brick 80[1] NETGEAR FVL328[2] Netscreen NS-50[3] Anbieter Lucent[4] NETGEAR[5] Netscreen[6] Preis ca. US$2395 ca. US$945 ca. US$6895 Garantie Hardware 1 Jahr, Software 3 Monate 3 Jahre 1 Jahr mit Reparaturservice Größe (HxBxT in mm) 50 x 200 x 190 39 x 254 x 178 44 x 445 x 274 Zertifikationen ICSA V3.0A, Common Criteria EAL2 ICSA, VPNC EAL4, ICSA Unterstützt folgende Verschlüsselung-Standards 3DES (168-bit), DES (56-bit), manual key, IKE, PKI (X.509), SHA-1 and MD5 DES, 3DES DES, 3DES, AES Ethernet Ports (trusted/untrusted/DMZ) 4 (beliebige Konfiguration) 8/1/konfigurierbar 1/1/1 Andere Ports Monitor, keyboard, serial, floppy   Range of WAN ports including X21, V35, T1, E1, ISDN Maximaler Durchsatz (Mbps) 190 52 170 Maximale Sitzungen 30,000 2000 64,000 Reporting Methoden Text logs, SNMP, syslog, and management interface Syslog Syslog, Netscreen security manager, NetIQ Webtrends, SNMP, e-mail, management interface Anzahl der VPN-Tunnel 200 client, unlimited site-to-site 100 300 client,100 site-to-site VPN DES speed (Mb/sec) 11 Mbps 15.7 Mbps 100 Mbps VPN 3DES speed (Mb/sec) 11 Mbps 15.7 Mbps 45 Mbps VPN AES speed (Mb/sec) nicht unterstützt   45 Mbps

Produkt Nokia IP350[7] Alteon Switched Firewall 5700[8] Symantec Gateway Security 5420[9] Anbieter Nokia Enterprise Solutions[10] Nortel Networks[11] Symantec[12] Preis ca. US$6664 ca. US$23,990 bis US$63,990 ca. US$4936 bis U$34548 Garantie 1 Jahr; kann je nach Lieferzeit auf 15 Monate verlängert werden. Nicht bekannt 1 Jahr; kann per neuen Vertrag auf drei Jahre verlängert werden Größe (HxBxT in mm) 1RU x 440 x 410 88 X 929 X 457 (Accelerator), 43 X 447 X 609 (Director) Keine Angabe Zertifikationen EAL4, ITSEC E3, FIPS 140-2, NEBS, ISCA Common Criteria EAL 4, ICSA 4.0, Checkpoint OPSEC ICSA IPSec Unterstützt folgende Verschlüsselung-Standards IPSEC, SSHv2, SSL/TSL, DES, 3DES, AES-128 & AES-256 DES, 3DES, AES, FWZ1, CAST DES, 3DES, AES Ethernet Ports (trusted/untrusted/DMZ) 4 (beliebige Konfiguration) 7 (beliebige Konfiguration) 5 (beliebige Konfiguration) Andere Ports HA Port, Switched Firewall Director Connection Port Console, modem (USB), UPS (USB) Keine Maximaler Durchsatz (Mbps) 350 4300 200 Maximale Sitzungen 1,419 1 million (500,000 accelerated) 64,000 Reporting Methoden Syslog, local SNMP v2, OPSEC ELA Management interface Anzahl der VPN-Tunnel 6000 25,000 1000 VPN DES speed (Mb/sec)   > 90 Mbps 45 Mbps VPN 3DES speed (Mb/sec) 80 Mbps 400 Mbps 90 Mbps VPN AES speed (Mb/sec)     30 Mbps

Produkt 3Com Superstack 3 Firewall[13] Trend Micro Gatelock 5000[14] WatchGuard Firebox X 700[15] Anbieter 3Com[16] Trend Micro [17] WatchGuard[18] Preis ca. US$4000 ca. US$904 ca. US$3163 Garantie Lebenslang 1 Jahr Hardware 1 Jahr, Software 3 Monate Größe (HxBxT in mm) 44 x 440 x 230 254 x 216 x 127cm Keine Angabe Zertifikationen ICSA EAL4, ICSA ICSA Unterstützt folgende Verschlüsselung-Standards MD5,IKE/ISAKMP, IEEE 802.3, ISO 8802-3; IPSec ARC4, DES, 3DES SSL, IPSec, 3DES,DES,AES128 DES, 3DES, PPTP, IPSEC Ethernet Ports (trusted/untrusted/DMZ) 1/1/1 4/1/0 1/1/1 Andere Ports Console, modem     Maximaler Durchsatz (Mbps) 190 100 150 Maximale Sitzungen Unbegrenzt 2000 50,000 Reporting Methoden WEB, SNMP, Syslog Syslog, management interface Management interface Anzahl der VPN-Tunnel 1000 10 100 MUVPN, 100 BOVPN VPN DES speed (Mb/sec)       VPN 3DES speed (Mb/sec) 45 Mbps 20 Mbps 40 Mbps VPN AES speed (Mb/sec) nicht unterstützt

Zunächst wurde jede Firewall mit den Werkseinstellungen beziehungsweise den vom Hersteller empfohlenen Standard-/Grundeinstellungen eingerichtet und dann getestet.

Als Testgerät musste ein generischer Intel-PC herhalten, auf dem Microsoft Windows 2000 Professional SP4 installiert war. Diesem wurde eine öffentlich völlig frei zugängliche IP-Adresse zugeordnet und anschließend wurden drei Tests über diesen PC ausgeführt, um einige Grundwerte zu erhalten, anhand derer sich später die Auswirkungen der Firewall in diesem System erkennen ließen.

Zusätzlich wurden zwei angreifende Rechner aufgestellt. Auf dem einem lief Knoppix, die Linux-Distribution mit Sicherheitstools, und auf dem anderen Microsoft Windows 2000 Professional. Nachdem die Firewall zwischen Außenwelt und den Zielrechner gesetzt wurde, wurde versucht, an allen möglichen Stellen die Nutzung von Network Address Translation (NAT) zu umgehen, um die Sicherheitstests direkt an diesen Zielrechner richten zu können. Einige Firewalls verfügten über vordefinierte Regeln, welche die Einrichtung statischer Routen zur Umgehung dieser beiden getrennten Netzwerkbereiche nicht erlaubten. NAT sorgt eigentlich für einen zusätzlichen Schutz und selbst wenn eine Organisation ausreichend öffentlich zugängliche IP-Adressen besitzt, die sie jedem einzelnen Netzwerkrechner zuordnen könnte, wäre dies eine sehr unvorsichtige Maßnahme.

Als Test wurde NMAP v3.10 Alpha4 benutzt, der in einer Linux-Umgebung ausgeführt wurde. NMAP verfügt über ein praktisches Tool für Port-Scans und Berichterstattung. Außerdem besitzt NMAP einen Stealth-Modus, in dem die individuellen Datenpakete, die ausgesendet werden, zufällig angeordnet werden. Dadurch lassen sich einige der intelligenteren Firewalls überlisten, die das sequenzielle Port-Sniffing normalerweise als von der externen Quelle stammend erkennen und es einfach abblocken würden. Port-Scanning ist eines der ersten Tools, die ein Hacker einsetzen würde, um die auf einem System geöffneten Ports zu erkennen und somit die potenziellen Schwachpunkte in diesem System zu identifizieren. Für die Zwecke dieses Tests wurden die Tests nur über die 1605 einfachen “common” Ports durchgeführt.

Im zweiten Test wurde LeakTest v.1.2 vom Zielrechner ausgeführt und wieder zu diesem zurückgeleitet. Diese Anwendung startet selbsttätig auf dem Zielrechner, simuliert dort einen Trojaner und versucht, Informationen zurück an sich selbst zu senden.

Der dritte Test verläuft von außen nach innen und verwendet ein Online-Tool zur Sicherheitsüberprüfung mit dem Namen SecuritySpace. Die Prozentangabe im Ergebnis basiert auf einer Beurteilung der Sicherheit des Rechners im Vergleich zu anderen Überprüfungen, die SecuritySpace im letzten Jahr durchgeführt hat. Beträgt das Testergebnis für eine Firewall in diesem Test 65 Prozent, so heißt dies, dass sie besser abgeschnitten hat, als 65 Prozent der von SecuritySpace durchgeführten Überprüfungen.

Fazit

Bei der Menge der verfügbaren Produkte und unterschiedlichen Anwendungen sieht die Redaktion davon ab eine Empfehlung auszusprechen. Organisationen, die derzeit nach einer passenden Firewall suchen, sollten eine Wunschliste mit den benötigten Funktionen und den voraussichtlichen Einsatzgebieten aufstellen und eine Reihe von Anbietern kontaktieren, deren Produkte diesen Anforderungen entsprechen. Somit lässt sich eine an die jeweilige Umgebung angepasste Evaluierung durchführen.

Trotzdem seien an dieser Stelle zwei Produkte ehrenvoll erwähnt: Zunächst das Trend Micro Gatelock, das es versteht, pure Benutzerfreundlichkeit und hervorragendes Design mit bereits standardmäßig guten Sicherheitseinstellungen zu kombinieren. Die zweite ehrenvolle Erwähnung geht an Lucent, nicht direkt für die getestete Brick 80, sondern für die gesamte Brick-Produktfamilie. Diese Produktfamilie gibt Großunternehmen mit zahlreichen Zweigniederlassungen die Möglichkeit, die passenden Firewall-Steuerungen an jedem beliebigen Punkt im Netzwerk einzusetzen und zentral zu verwalten.

URLs in diesem Artikel:
[1] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-3,00.htm
[2] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-4,00.htm
[3] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-5,00.htm
[4] = http://www.lucent.com
[5] = http://www.netgear.com
[6] = http://www.netscreen.com
[7] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-6,00.htm
[8] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-7,00.htm
[9] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-8,00.htm
[10] = http://www.nokia.com
[11] = http://www.nortelnetworks.com
[12] = http://www.symantec.com
[13] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-9,00.htm
[14] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-10,00.htm
[15] = http://www.zdnet.de/enterprise/security/0,39023272,39124750-11,00.htm
[16] = http://www.ap.3com.com
[17] = http://www.trendmicro.com
[18] = http://www.watchguard.com