Netzwerksicherheit als Plug-in: gateProtect-Appliance im Test

Einkommende Verbindungen aus dem Internet sind standardmäßig geblockt. Das gilt auch für das ICMP-Protokoll, das unter anderem für Ping verwendet wird. Einkommende Verbindungen, beispielsweise für einen Mailserver, muss man einzeln erlauben. Dazu wird ein DMZ-Objekt definiert. Im Fall eines Mailservers leitet man TCP-Port 25 aus dem Internet an den Mail-Server weiter.

Grundsätzlich werden alle ankommenden und ausgehenden Pakete auf Viren gescannt. Dazu verwendet gateProtect die Engine und die sich selbst aktualisierende Datenbank von Kaspersky. Das ersetzt wie bei allen Appliances nicht den Virenschutz auf Client- und Server-Maschinen. Immer wenn eine End-To-End-Verschlüsselung verwendet wird, kann die Appliance keinen Scan durchführen.

E-Mail wird zusätzlich nach Spam durchsucht. Technisch verwendet die Appliance dafür einen SMTP-Proxy, der den Datenverkehr auf TCP-Port 25 automatisch abfängt. Die Spamdatenbank wird ebenfalls automatisch aktualisiert und basiert auf Daten, die von großen E-Mail-Providern stammen. Geht dort eine große Anzahl gleichlautender E-Mails ein, so besteht Spamverdacht. Diese Methode ist recht zuverlässig, allerdings auch ein wenig anfällig gegen False Positives, da Opt-In-Newsletter manchmal als Spam erkannt werden. Whitelists helfen, dieses Problem zu reduzieren.

Neben der Konfiguration auf Portebene ist die Appliance in der Lage, die Protokolle HTTP, FTP, POP3, SMTP und DNS auf der Layer-7-Ebene zu erkennen. Das erlaubt beispielsweise, dass sich Nutzer mit Webservern verbinden können, die nicht auf dem Standard-Port 80 laufen. Ebenso sieht man so, ob Malware versucht, den Standard-Port 80 für andere Protokolle als HTTP zu verwenden. Schadprogramme, etwa Botnets, die ihre Befehle per HTTP-Tunnel empfangen, werden auf diese Weise allerdings nicht identifiziert.

Da Angreifer von außen vielfach selbstentwickelte Layer-7-Protokolle verwenden, sollte die Protokollerkennung nur dazu verwendet werden, Nutzern die Verbindung zu erlauben, falls ein Protokoll sicher erkannt wurde. Unbekannte Protokolle auf Nicht-Standard-Ports sollte man grundsätzlich verbieten, wenn man auf Nummer sicher gehen möchte.

Schwierig zu entscheiden sind Dinge wie der SSH-Port 22. Da die Firewall den SSH-Handshake nicht sicher erkennt, kann eine eingeschleuste Malware darüber ausspionierte Daten „nach Hause“ schicken. Sperrt man hingegen den Port, so können Benutzer kein SSH verwenden. Das gilt dann automatisch auch für den Filetransfer mit SCP oder SFTP.

Zu den ausgereiften Funktionen gehört die VPN-Verbindung zwischen Standorten, die mit UTM-Appliances von gateProtect ausgerüstet sind. Ebenso ist eine VPN-Einwahl von mobilen Mitarbeitern mittels des mitgelieferten VPN-Clients möglich.

gateProtect unterstützt die Protokolle IPSec und VPNs mittels SSL/TLS. PPTP ist ebenfalls möglich, hauptsächlich um Windows-Clients den Zugang ohne zusätzliche Software zu ermöglichen.

Ebenso kann man VPNs zwischen Standorten herstellen, die nicht über gateProtect-Appliances angebunden sind. Für die VPNs der Hersteller Cisco und Funkwerk ist beim gateProtect-Support Know-how vorhanden. Bei anderen Herstellern muss man unter Umständen ein wenig Zeit in die Konfiguration investieren.