Hardware-Firewalls im Test: Wer bietet den besten Schutz?
Testverfahren
Das Labor verfügt über einen eigenen öffentlich adressierbaren C-Class-Netzwerkbereich (253 öffentliche IP-Adressen). Daher konnten für einen Bereich des Netzwerks sämtliche Regeln der vorhandenen Firewall deaktiviert und jedes der Testgeräte mit einer eigenen IP-Adresse eingerichtet werden. Dies simuliert eine typische Firewall-Installation am Rand des Netzwerks. Jedes Gerät wurde mit einem oder zwei PCs oder Notebooks an den internen Anschlüssen verbunden (LAN), so dass Richtlinien aufgestellt werden und sowohl der eingehende wie ausgehende Traffic überwacht werden konnten.
Beim letzten Firewall-Vergleichstest ging es vor allem um die Grundfunktionalität. Mit einem simulierten Trojaner wurde damals von Inneren des Netzwerks aus auf Schwachstellen getestet. Außerdem wurden NMAP-Portscans gegen die Innen- und Außenseite der Geräte durchgeführt sowie ein entfernter Schwachstellenscan für jede Firewall und jedes Geräte im Netzwerk, so dass sichergestellt war, dass der Scan entfernt durchgeführt wurde.
Für interne Zwecke gibt es eine Menge zuverlässiger Software- und Hardwaretools für das Scannen nach Schwachstellen und die Berichterstellung, zum Beispiel Computer Associates' Etrust Vulnerability Manager Appliance oder Net IQs Vulnerability Manager-Software.
Dies Art von elementaren Tests ist notwendig, um eine Firewall in Bezug auf die spezifische Konfiguration einer Unternehmensumgebung zu beurteilen. Wenn die Firewall angeschafft und installiert ist, sollte man regelmäßig ähnliche Penetrationstests und Schwachstellenscans durchführen, um neue Bedrohungen aufzuspüren und Gegenmaßnahmen zu ergreifen.
Dieses Verfahren ist inzwischen überholt und überflüssig, wenn man es im Rahmen eines Testberichts verwendet, da es nur einen Schnappschuss der Gerätekonfiguration und der potentiellen Schwachstellen zu einem bestimmten Zeitpunkt liefert. Die meisten Benutzer werden aus einer Vielzahl von Gründen nicht einfach eine Firewall erwerben und diese dann anschließen und mit der Standardkonfiguration laufen lassen. Die meisten Anbieter von Sicherheitslösungen stellen ihre Geräte inzwischen sinnvollerweise fabrikmäßig auf "Alles blockieren" ein, so dass Administratoren und Benutzer ihre eigenen Regeln aufstellen müssen, wenn das Gerät im Netzwerk installiert und anfänglich konfiguriert wird. Falls ein Gerät eine Schwachstelle aufweist, die von einem Scanning-Tool erkannt oder entdeckt wurde, wird sich der Hersteller normalerweise sofort darum kümmern, so dass schnellstmöglich ein Patch bereitsteht.
Das bedeutet natürlich nicht, dass sich Sicherheitsadministratoren jetzt bequem zurücklehnen und den Herstellern die ganze Verantwortung überlassen können. Unternehmen sollten regelmäßig eigene Penetrationtests ihrer Netzwerkgeräte und -ressourcen planen und durchführen, um sicherzustellen, dass diese auf dem aktuellen Stand sind und ihr Netzwerk jederzeit bestmöglich geschützt ist.
Der nächste Test, der bei diesen Geräten durchgeführt werden kann, ist ein Last-, Durchsatz- oder Performance-Test. Zwar lassen sich solche Tests sehr gut im Labor durchführen, aber die Unterschiede bei den potentiellen Umgebungen, Geräten und Konfigurationen erschweren einen echten vergleichbaren Performance-Test. Letztlich wird doch jedes Unternehmen über seine eigenen Filter-Richtlinien und umzusetzende Verfahren verfügen, von der individuellen Netzwerklast ganz zu schweigen. Von daher hätte ein Performance-Test nur rein akademischen Wert und keinerlei Relevanz für die Praxis.
Daher hat sich ZDNet entschieden, die einzelnen Firewalls zu installieren und auszuprobieren und dabei die Geräte und ihre Verwaltungsfunktionen unter die Lupe zu nehmen, um Stärken und Schwächen herauszufinden, wobei besonders die einmaligen Funktionen der einzelnen Hersteller hervorgehoben werden sollen. Außerdem sollte die Logging- und Reporting-Systeme der einzelnen Anbieter verglichen werden, um zu sehen, wie gut sie mit Reporting- und Analyse-Systemen von Drittanbietern zusammenarbeiten.
Dabei erweist sich das Vorhandensein eigener öffentlicher IP-Bereiche als Vorteil. So kann jedes Gerät mit einer offenen Adresse eingerichtet und der gesamte Traffic für dieses Gerät von außen dokumentiert werden - "Script Kiddies", die Portscans durchführen und eine Reihe weiterer Tools, die ihre Spuren hinterließen.
Inhalt
- Teil 1: Firewalls und Appliances
- Teil 2: Die Entwicklung der Firewall-Technologie
- Teil 3: Stateful Packet Inspection
- Teil 4: Cyberguard SG710
- Teil 5: Fortinet Fortigate 200A
- Teil 6: Juniper Networks ISG1000
- Teil 7: Lucent Technologies Brick 150
- Teil 8: Netgear Prosafe VPN Firewall FVX538
- Teil 9: Network Box RM-300
- Teil 10: Sonicwall PRO 5060c
- Teil 11: Symantec SGS 5420
- Teil 12: Watchguard Firebox X1000
- Teil 13: Technische Daten
- Teil 14: Testverfahren
- Teil 15: Empfehlung der Redaktion
2 von 5 Lesern fanden diesen Artikel nützlich.
es lebe die Cisco ASA
Ich würde gerne einen entsprechenden Vergleich sehen und denke das geht vielen so, da die 'Pix' ja nicht gerade ein selten anzutreffendes Produkt ist.
Das solltet Ihr wenn möglich bald nachholen.
Liegt's an mir (scheinbar blind), oder wird einfach nur gesagt was getestet wurde und danach dann ein Fazit präsentiert OHNE die Testergebnisse zu zeigen?
Welche Firewall / welcher Router hat denn nun Schwachstellen gezeigt? Welches Gerät hat seine Spezifikationen erfüllt und welches bietet vielleicht die beste Leistung für's Geld?
So ist der Test doch etwas merkwürdig. Das TOP-Gerät von Juniper gegen teilweise sehr kleine Lösungen anderer Hersteller.
Ein Vergleich wie Smart gegen Leopard II.
LG