Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Das Labor verfügt über einen eigenen öffentlich adressierbaren C-Class-Netzwerkbereich (253 öffentliche IP-Adressen). Daher konnten für einen Bereich des Netzwerks sämtliche Regeln der vorhandenen Firewall deaktiviert und jedes der Testgeräte mit einer eigenen IP-Adresse eingerichtet werden. Dies simuliert eine typische Firewall-Installation am Rand des Netzwerks. Jedes Gerät wurde mit einem oder zwei PCs oder Notebooks an den internen Anschlüssen verbunden (LAN), so dass Richtlinien aufgestellt werden und sowohl der eingehende wie ausgehende Traffic überwacht werden konnten.

Beim letzten Firewall-Vergleichstest ging es vor allem um die Grundfunktionalität. Mit einem simulierten Trojaner wurde damals von Inneren des Netzwerks aus auf Schwachstellen getestet. Außerdem wurden NMAP-Portscans gegen die Innen- und Außenseite der Geräte durchgeführt sowie ein entfernter Schwachstellenscan für jede Firewall und jedes Geräte im Netzwerk, so dass sichergestellt war, dass der Scan entfernt durchgeführt wurde.

Für interne Zwecke gibt es eine Menge zuverlässiger Software- und Hardwaretools für das Scannen nach Schwachstellen und die Berichterstellung, zum Beispiel Computer Associates‘ Etrust Vulnerability Manager Appliance oder Net IQs Vulnerability Manager-Software.

Dies Art von elementaren Tests ist notwendig, um eine Firewall in Bezug auf die spezifische Konfiguration einer Unternehmensumgebung zu beurteilen. Wenn die Firewall angeschafft und installiert ist, sollte man regelmäßig ähnliche Penetrationstests und Schwachstellenscans durchführen, um neue Bedrohungen aufzuspüren und Gegenmaßnahmen zu ergreifen.

Dieses Verfahren ist inzwischen überholt und überflüssig, wenn man es im Rahmen eines Testberichts verwendet, da es nur einen Schnappschuss der Gerätekonfiguration und der potentiellen Schwachstellen zu einem bestimmten Zeitpunkt liefert. Die meisten Benutzer werden aus einer Vielzahl von Gründen nicht einfach eine Firewall erwerben und diese dann anschließen und mit der Standardkonfiguration laufen lassen. Die meisten Anbieter von Sicherheitslösungen stellen ihre Geräte inzwischen sinnvollerweise fabrikmäßig auf „Alles blockieren“ ein, so dass Administratoren und Benutzer ihre eigenen Regeln aufstellen müssen, wenn das Gerät im Netzwerk installiert und anfänglich konfiguriert wird. Falls ein Gerät eine Schwachstelle aufweist, die von einem Scanning-Tool erkannt oder entdeckt wurde, wird sich der Hersteller normalerweise sofort darum kümmern, so dass schnellstmöglich ein Patch bereitsteht.

Das bedeutet natürlich nicht, dass sich Sicherheitsadministratoren jetzt bequem zurücklehnen und den Herstellern die ganze Verantwortung überlassen können. Unternehmen sollten regelmäßig eigene Penetrationtests ihrer Netzwerkgeräte und -ressourcen planen und durchführen, um sicherzustellen, dass diese auf dem aktuellen Stand sind und ihr Netzwerk jederzeit bestmöglich geschützt ist.

Der nächste Test, der bei diesen Geräten durchgeführt werden kann, ist ein Last-, Durchsatz- oder Performance-Test. Zwar lassen sich solche Tests sehr gut im Labor durchführen, aber die Unterschiede bei den potentiellen Umgebungen, Geräten und Konfigurationen erschweren einen echten vergleichbaren Performance-Test. Letztlich wird doch jedes Unternehmen über seine eigenen Filter-Richtlinien und umzusetzende Verfahren verfügen, von der individuellen Netzwerklast ganz zu schweigen. Von daher hätte ein Performance-Test nur rein akademischen Wert und keinerlei Relevanz für die Praxis.

Daher hat sich ZDNet entschieden, die einzelnen Firewalls zu installieren und auszuprobieren und dabei die Geräte und ihre Verwaltungsfunktionen unter die Lupe zu nehmen, um Stärken und Schwächen herauszufinden, wobei besonders die einmaligen Funktionen der einzelnen Hersteller hervorgehoben werden sollen. Außerdem sollte die Logging- und Reporting-Systeme der einzelnen Anbieter verglichen werden, um zu sehen, wie gut sie mit Reporting- und Analyse-Systemen von Drittanbietern zusammenarbeiten.

Dabei erweist sich das Vorhandensein eigener öffentlicher IP-Bereiche als Vorteil. So kann jedes Gerät mit einer offenen Adresse eingerichtet und der gesamte Traffic für dieses Gerät von außen dokumentiert werden – „Script Kiddies“, die Portscans durchführen und eine Reihe weiterer Tools, die ihre Spuren hinterließen.

Themenseiten: Security-Praxis, Servers, Spyware, Storage, Storage & Server

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

11 Kommentare zu Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Kommentar hinzufügen
  • Am 28. September 2005 um 9:27 von Markus Strittmatter

    CyberGuard
    Die SG710 von CyberGuard kommt mit der Punktzahl 7 denke ich ein bisschen schlecht weg im Verhältnis zu den "bekannteren" Herstellern, bei dem Gerät sollte nicht vergessen werden, dass es hier keine Benutzerbegrenzung sowie keine VPN-Tunnel-Begrenzung. Das Gerät ist vollkommen frei, zudem gibt es noch Minor- und Majorupdates umsonst. Was uns im Unternehmen gefällt ist ganz klar, dass das Gerät vollkommen offen ist, man es also sehr individuell einstellen bei Wunsch.

  • Am 30. September 2005 um 16:32 von Marcel Dunkelberg

    Astaro Security Linux
    Warum hat ZDNET nicht die Astaro Security Linux bzw. Astaro Secure Gateway getestet? Ein super Preis-/Leistungsverhältnis und nicht sone verbuggte Frickelsoft wie Symantec.

  • Am 4. Oktober 2005 um 14:12 von michael Kramer

    Hardware-Firewalls im Test: Wer bietet den besten Schutz?
    irgendwie fahlt hier noch ein wichtiger hersteller in euren Tests !! wie wäre es mit ner Cisco Pix ??

    • Am 23. Oktober 2009 um 11:57 von pitsec

      AW: Hardware-Firewalls im Test: Wer bietet den besten Schutz?
      pix ist nicht mehr verfügbar,
      es lebe die Cisco ASA

  • Am 7. Oktober 2005 um 11:09 von Jens Heckenberg

    Hardware-Firewalls im Test: Wer bietet den besten Schutz?
    Der Test ist recht gut, hat aber einen gravierenden Schwachpunkt, es fehlt eine entsprechend vergleichbare Cisco PIX in dem Test.

    Ich würde gerne einen entsprechenden Vergleich sehen und denke das geht vielen so, da die ‚Pix‘ ja nicht gerade ein selten anzutreffendes Produkt ist.

    Das solltet Ihr wenn möglich bald nachholen.

  • Am 7. Oktober 2005 um 14:17 von Christoph Gartmann

    Pix fehlt
    Wie schon von anderen geschrieben: ich habe Ciscos Pix vermißt. Dabei muß man allerdings noch zwischen einer kleinen 501 und einer großen 520 unterscheiden.

  • Am 7. Oktober 2005 um 17:16 von Jörg Oertel

    Und wo ist der Vergleich mit Check Point?
    Sicher fehlt die Pix im Vergleich, aber ebenso fehlen die Safe@Office-Appliances von Check Point.

  • Am 12. Oktober 2005 um 20:04 von reiner maier

    komischer vergleich
    wenn man sich die produkte mal genauer anschaut, fällt eines auf, ein großer preisunterschied!!! man kann auch sagen, äpfel werden mit birnen verglichen, und die üblichen verdächtigen gewinnen mal wieder, sehr opjektiv :-)))). zum thema pix, jo, die trifft man noch häufig, liegt am namen, nur die qualität ist nicht wirklich ausreichend für den preis! ich denke jeder der schon mit verschiedenen herstellern in kontakt gekommen ist, wird sehen, dass die pix keine gute firewall ist, cisco ist gut im routerbereich, aber firewall oder noch besser die ids lösung sind mehr als dürftig.

  • Am 13. März 2006 um 14:20 von Knut Knudsen

    Es fehlen ettliche Anbieter
    Es fehlen ettliche Anbieter! Schöner wäre ein Test für Mittelständische Unternehmen gewesen oder eine generelle Aufteilung in Small, Middle & Enterprise mit allen Herstellern.

  • Am 11. April 2007 um 17:56 von Ghostrider

    Testergebnisse???
    Hallo!

    Liegt’s an mir (scheinbar blind), oder wird einfach nur gesagt was getestet wurde und danach dann ein Fazit präsentiert OHNE die Testergebnisse zu zeigen?
    Welche Firewall / welcher Router hat denn nun Schwachstellen gezeigt? Welches Gerät hat seine Spezifikationen erfüllt und welches bietet vielleicht die beste Leistung für’s Geld?

    So ist der Test doch etwas merkwürdig. Das TOP-Gerät von Juniper gegen teilweise sehr kleine Lösungen anderer Hersteller.

    Ein Vergleich wie Smart gegen Leopard II.

  • Am 14. Oktober 2009 um 11:20 von Gerald Humer

    Firewall Appliances aus Österreich von underground8
    Also wir verwenden seit Jahren Firewall Appliances von underground8, einem österreichischen Hersteller. Die sind auch komplett unlimitiert und der Heuler ist dass sogar die VPN Client Software auf diesen Boxen zum Runterladen bereit stehen. Die Antispam Appliance kkann man sogar runterladen als VMware Image … http://www.underground8.com – Sollte man schon in Erwägung ziehen bei so einem heiklen Teil mal bei einem europäischen Hersteller zuzuschlagen und nicht immer nur die Amisachen zu kaufen.
    LG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *