Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Das Labor verfügt über einen eigenen öffentlich adressierbaren C-Class-Netzwerkbereich (253 öffentliche IP-Adressen). Daher konnten für einen Bereich des Netzwerks sämtliche Regeln der vorhandenen Firewall deaktiviert und jedes der Testgeräte mit einer eigenen IP-Adresse eingerichtet werden. Dies simuliert eine typische Firewall-Installation am Rand des Netzwerks. Jedes Gerät wurde mit einem oder zwei PCs oder Notebooks an den internen Anschlüssen verbunden (LAN), so dass Richtlinien aufgestellt werden und sowohl der eingehende wie ausgehende Traffic überwacht werden konnten.

Beim letzten Firewall-Vergleichstest ging es vor allem um die Grundfunktionalität. Mit einem simulierten Trojaner wurde damals von Inneren des Netzwerks aus auf Schwachstellen getestet. Außerdem wurden NMAP-Portscans gegen die Innen- und Außenseite der Geräte durchgeführt sowie ein entfernter Schwachstellenscan für jede Firewall und jedes Geräte im Netzwerk, so dass sichergestellt war, dass der Scan entfernt durchgeführt wurde.

Für interne Zwecke gibt es eine Menge zuverlässiger Software- und Hardwaretools für das Scannen nach Schwachstellen und die Berichterstellung, zum Beispiel Computer Associates‘ Etrust Vulnerability Manager Appliance oder Net IQs Vulnerability Manager-Software.

Dies Art von elementaren Tests ist notwendig, um eine Firewall in Bezug auf die spezifische Konfiguration einer Unternehmensumgebung zu beurteilen. Wenn die Firewall angeschafft und installiert ist, sollte man regelmäßig ähnliche Penetrationstests und Schwachstellenscans durchführen, um neue Bedrohungen aufzuspüren und Gegenmaßnahmen zu ergreifen.

Dieses Verfahren ist inzwischen überholt und überflüssig, wenn man es im Rahmen eines Testberichts verwendet, da es nur einen Schnappschuss der Gerätekonfiguration und der potentiellen Schwachstellen zu einem bestimmten Zeitpunkt liefert. Die meisten Benutzer werden aus einer Vielzahl von Gründen nicht einfach eine Firewall erwerben und diese dann anschließen und mit der Standardkonfiguration laufen lassen. Die meisten Anbieter von Sicherheitslösungen stellen ihre Geräte inzwischen sinnvollerweise fabrikmäßig auf „Alles blockieren“ ein, so dass Administratoren und Benutzer ihre eigenen Regeln aufstellen müssen, wenn das Gerät im Netzwerk installiert und anfänglich konfiguriert wird. Falls ein Gerät eine Schwachstelle aufweist, die von einem Scanning-Tool erkannt oder entdeckt wurde, wird sich der Hersteller normalerweise sofort darum kümmern, so dass schnellstmöglich ein Patch bereitsteht.

Das bedeutet natürlich nicht, dass sich Sicherheitsadministratoren jetzt bequem zurücklehnen und den Herstellern die ganze Verantwortung überlassen können. Unternehmen sollten regelmäßig eigene Penetrationtests ihrer Netzwerkgeräte und -ressourcen planen und durchführen, um sicherzustellen, dass diese auf dem aktuellen Stand sind und ihr Netzwerk jederzeit bestmöglich geschützt ist.

Der nächste Test, der bei diesen Geräten durchgeführt werden kann, ist ein Last-, Durchsatz- oder Performance-Test. Zwar lassen sich solche Tests sehr gut im Labor durchführen, aber die Unterschiede bei den potentiellen Umgebungen, Geräten und Konfigurationen erschweren einen echten vergleichbaren Performance-Test. Letztlich wird doch jedes Unternehmen über seine eigenen Filter-Richtlinien und umzusetzende Verfahren verfügen, von der individuellen Netzwerklast ganz zu schweigen. Von daher hätte ein Performance-Test nur rein akademischen Wert und keinerlei Relevanz für die Praxis.

Daher hat sich ZDNet entschieden, die einzelnen Firewalls zu installieren und auszuprobieren und dabei die Geräte und ihre Verwaltungsfunktionen unter die Lupe zu nehmen, um Stärken und Schwächen herauszufinden, wobei besonders die einmaligen Funktionen der einzelnen Hersteller hervorgehoben werden sollen. Außerdem sollte die Logging- und Reporting-Systeme der einzelnen Anbieter verglichen werden, um zu sehen, wie gut sie mit Reporting- und Analyse-Systemen von Drittanbietern zusammenarbeiten.

Dabei erweist sich das Vorhandensein eigener öffentlicher IP-Bereiche als Vorteil. So kann jedes Gerät mit einer offenen Adresse eingerichtet und der gesamte Traffic für dieses Gerät von außen dokumentiert werden – „Script Kiddies“, die Portscans durchführen und eine Reihe weiterer Tools, die ihre Spuren hinterließen.