Hochverfügbare Next Generation Firewall für verteilte Netze · DSLModem und fuhren es hoch....
Transcript of Hochverfügbare Next Generation Firewall für verteilte Netze · DSLModem und fuhren es hoch....
Die Clavister W30, die für denEinsatz in Zweigstellen,entfernten Niederlassungen und kleinenRechenzentren konzipiert wurde,bringt – wie bei modernen NextGenerationFirewalls (NGFs) üblich – neben der eigentlichen FirewallFunktionalität mit DeepPacketInspection auch VPNs(IPSec, L2TP, PPTP und SSL),erweitertes Routing (auch auf PolicyBasis) und AntiSpamFeatures mit. Dazu kommen nochAntiVirusFunktionen (von Kaspersky), ein IPS, LoadBalancing, BandwidthManagement,LinkAggregation, ein Web Filterund Funktionen zur Anwendungskontrolle. Die Applianceverfügt über sechs GBitEthernetSchnittstellen und einen Expansion Slot und unterstütztHochverfügbarkeit, um die NGFInstallation ausfallsicher zu machen.
Der TestIm Test richteten wir zunächst eine der W30Lösungen als InternetGateway in unserem Netz
ein. Dazu verbanden wir das Produkt mit NetzwerkSwitch undDSLModem und fuhren es hoch.Anschließend griffen wir mit einem Browser auf das Webbasierte ManagementInterface derAppliance zu und führten dieErstkonfiguration durch. Alternativ steht auch eine Kommandozeile zur Verfügung, über die sichbeispielsweise BatchDateienausführen lassen, was Sinn ergibt, wenn viele neue Geräte automatisch konfiguriert werdensollen.
Nachdem die Erstkonfigurationerfolgt war, setzten wir uns imDetail mit dem Konfigurationswerkzeug auf BrowserBasis (daslaut Hersteller am besten für die
Verwaltung von einzelnen Appliances geeignet ist) auseinanderund lernten dabei den Funktionsumfang der Lösung kennen. Zudem passten wir die Konfiguration genau an unsere Anforderungen an.
Im nächsten Schritt bauten wirdiverse VPNVerbindungen zuexternen Netzen und Geräten auf.Sobald das erledigt war, installierten wir auf einer Windows 7Workstation das zentrale ManagementWerkzeug Clavister InControl, das nach Herstellerangaben mehrere tausend Gatewaysverwalten kann, und fügten unseren Gateway zur InControlKonfiguration hinzu. Anschließendnahmen wir uns InControl selbst
Im Test: Clavister W30
Hochverfügbare Next Generation
Dr. Götz Güttich
Mit den Appliances der Eagle und der WolfSerie bietet Clavister Next GenerationFirewalls an, die sich vor allem für Umgebungen eignen, in denen mehrere Firewalls
zum Einsatz kommen, beispielsweise in verteilten Netzen. Ein zentralesVerwaltungstool sorgt dabei dafür, dass die zuständigen Mitarbeiter stets den
Überblick behalten. Die Appliances sind in verschiedenen HardwareAusstattungenerhältlich, das bedeutet die Unternehmen können in jeder Niederlassung genau die
Appliance einsetzen, die am besten auf die Leistungsanforderungen im jeweiligen Umfeldabgestimmt ist. Da sich die HardwareLösungen nur in ihrer Leistungsfähigkeit
unterscheiden – von der Funktionalität her sind alle Produkte identisch – gilt dieser Test,der mit zwei Clavister W30 durchgeführt wurde, gleichermaßen auch für die anderen Next
GenerationFirewalls des gleichen Herstellers.
1
Firewall für verteilte Netze
vor und analysierten den Leistungsumfang der Lösung.
Als dieser Vorgang abgeschlossen war, analysierten wir die internen und externen Interfacesder Appliance mit diversen Sicherheitstools wie Nessus, Nmapund Metasploit. Das externe Interface hatten wir zu diesemZweck mit einer festen IPAdresse versehen.
Unser Ziel dabei war, herauszufinden, ob Sicherheitslückenexistierten oder ob die Lösungüberflüssige Informationen preisgab, die Hackern bei Angriffenhelfen könnten. Darüber hinausverwendeten wir auch etliche AngriffsTools, um beispielsweiseDoSAttacken auf die Appliancedurchzuführen und zu testen, wiesie darauf reagierte.
Zum Schluss bauten wir unsereTestinstallation so um, dass wirdie Hochverfügbarkeitsfunktionder Produkte (HA) unter die Lupe nehmen konnten. Da das HAFeature nicht mit dynamisch zugewiesenen externen IPAdressen und PPPoEAnschlüssen zurechtkommt, schlossen wir zudiesem Zweck beide Applianceshinter einem Router, der den InternetZugang übernahm, alsCuster zusammen. Dabei behielten wir die Konfiguration mit derfesten externen IPAdresse bei.Im Cluster übernahm das ursprünglich von uns konfigurierteSystem die Rolle des Masters,die zweite Appliance, die wir zuvor noch nicht angefasst hatten,kam als Slave zum Einsatz, derseine Konfiguration vom Mastererhielt.
InbetriebnahmeDie Inbetriebnahme der W30 gestaltet sich verhältnismäßig ein
fach. Es genügt, das Produkt auszupacken, und den beiliegendenQuick StartGuide abzuarbeiten.Dieser empfiehlt, das erste Interface als LANSchnittstelle zuverwenden und das zweite fürden WANAnschluss zu nutzen.Sobald alle Kabel angeschlossensind, lassen die zuständigen Mitarbeiter die Appliance hochfahren und können sich dann überdie DefaultIPAdresse https://192.168.1.1 mit dem WebInterface des Produkts verbinden.
Daraufhin landen sie auf derÜbersichtsseite des Verwaltungswerkzeugs. Diese bietet an, den
"Setup Wizard" zu starten, derbei der Erstkonfiguration der Lösung behilflich ist.
Nachdem wir diesen Schrittdurchgeführt hatten, präsentierteuns das System einen Willkommensbildschirm, der uns darüberinformierte, welche Schritte derAssistent durchführen würde. Zunächst einmal ging es daran, einneues Passwort für das Administratorkonto zu setzen, was Sinnergibt, da dadurch sichergestelltwird, dass keine ClavisterAppliances mit StandardPasswörternim Netz arbeiten.
Der nächste Schritt befasste sichmit dem Einstellen der richtigenUhrzeit und der Konfiguration
der Zeitzone. Danach kam dieKonfiguration des WANInterfaces an die Reihe. Wie bereits angesprochen, verwendeten wir dieAppliance zu Beginn als InternetGateway an einem DSLAnschluss der Telekom.
Deswegen wählten wir für dieWANKonfiguration die Option"PPPoE". Alternativ arbeitet dieLösung auch mit festen und perDHCP zugewiesenen IPAdressen oder PPTP. Für die PPPoEKonfiguration reichte es, den Benutzernamen sowie das Passwortanzugeben und dem Dienst einenNamen zu geben, damit war die
Einrichtung der WANSchnittstelle abgeschlossen.
Jetzt ging es daran, einen DHCPServer für das LAN anzulegen.Dabei vertippten wir uns undstellten bei dieser Gelegenheitfest, dass der Wizard auf fehlerhafte Konfigurationsangabenhinweist und eine Korrektur verlangt. Man kann sich also daraufverlassen, dass die Erstkonfiguration im Großen und Ganzenkorrekt abläuft.
Zum Schluss möchte der Assistent noch wissen, welche Zeitserver die Systemzeit auf demneuesten Stand halten und welcheSyslogServer zum Einsatz kommen sollen, um Daten von der
2
Der SetupWizard mach die Benutzer auf Fehler in der Konfiguration aufmerksam
Appliance zu empfangen. Damitist die Erstkonfiguration beendetund die Änderungen werdenübernommen. Üblicherweise gehört die Lizenzierung des Produkts auch mit zum Funktionsumfang des Wizards, dieserSchritt entfiel bei uns aber, daunsere TestAppliances bereitsmit einer installierten Lizenz kamen.
Das Anpassen der LANAdresseerfolgt dann manuell über dasWebbasierte Konfigurationswerkzeug. Dieser Schritt wird imauf der ClavisterWebseite zumDownload angebotenen "Getting
Started Guide" zwar genau beschrieben, so dass sich im Testdabei keine Probleme ergaben,unserer Meinung nach gehört eraber ebenfalls zur Erstkonfiguration und sollte deshalb innerhalbdes Assistenten abgearbeitet werden.
Das gleiche gilt für die Definition der Regeln für den InternetZugang. Standardmäßig erlaubtClavister nach der Erstkonfiguration die Dienste DNS und HTTPfür den Zugriff auf das externeNetz. Dies lässt sich über das
Verwaltungswerkzeug natürlichjederzeit ändern, trotzdem wärees schön, wenn der Wizard zumindest beim Erstellen einer rudimentären, etwas genauer an dieUnternehmensanforderungen angepassten, InternetzugriffsPolicyhelfen würde.
Das Webbasierte KonfigurationswerkzeugNachdem wir die Initialkonfiguration abgeschlossen hatten,loggten wir uns über unsere neueLANAdresse bei der NGF einund definierten zunächst einmalam dritten Interface der Appliance ein GästeLAN. In diesem
platzierten wir einen WLANAccessPoint, über den Besucherüber unseren InternetAnschlusssurfen konnten, ohne unsereLANKomponenten zu sehen. ImWesentlichen kopierten wir dazuam dritten Interface unsere LANKonfiguration mit einem zusätzlichen DHCPServer und einemanderen Subnet. Das GästeWLAN funktionierte anschließend wie erwartet.
Als wir auf diese Weise sichergestellt hatten, dass alle Anwenderin unserem Netz über die Clavis
terAppliance Zugriff auf das Internet erhielten, gingen wir dazuüber, uns mit dem Konfigurationswerkzeug selbst und damitdem Funktionsumfang der Lösung auseinanderzusetzen, undpassten dabei unser Setting gleichgenau an unsere Anforderungenan. Zunächst aktualisierten wirdazu die Firmware der Applianceauf das zum Testzeitpunkt aktuelle cOS Core 11.02.01.03, umsicher zu stellen, dass wir mit derneuesten Version arbeiteten.
Nach dem Login beim WebInterface findet sich der Administrator auf einer Statusseite wieder, die ihn über den aktuellenZustand der NGF informiert. Amoberen Rand des Fensters erscheint eine Menüleiste und aufder linken Seite befindet sich eine Baumstruktur, die die zu demjeweils aufgerufenen Menü gehörenden Einträge enthält.
Die eben genannte Statusseiteenthält eine Systemübersicht mitDurchsatz, Verbindungen, CPULast, Speichernutzung, Systemzeit, den Top fünf Anwendungen,den Top fünf Web Content FilterKategorien und ähnlichem. Direkt darunter lassen sich diverseLogDateien einsehen unddurchsuchen. Dazu gehören dasSystem Log, das Antivirus Log,das Log zur Anwendungskontrolle, das Intrusion DetectionLog und das Content Filter Log.
Unter "Sub Systems" sehen dieAdministratoren die aktuelleBlacklist ein und haben die Option, bestehende Blockierungenaufzuheben. Außerdem bestehtdie Möglichkeit, die vorhandenenVerbindungen in Listenform unter die Lupe zu nehmen. Darüberhinaus lassen sich an gleicherStelle die DHCPServer konfigu
3
Die Statusseite bietet unter anderem auch Content FilterStatistiken an
rieren, die Hardware überwachen(beispielsweise die CPUTemperatur) und die Aktivitäten der Interfaces anzeigen. Die InterfaceÜbersicht umfasst auch grafischeInformationen zur Send und ReceiveRate. Zusätzlich präsentiertdas System unter Sub Systemsauch noch die RoutingTable,Daten zum Server Load Balancing und ähnliches.
Das Submenü "Maintenance"bietet den Anwendern die Möglichkeit, die Konfiguration unddie Core Binaries zu sichern undwiederherzustellen. Außerdemkönnen sie auch eine neue Lizenzeinspielen, einen Reset durchführen, oder die Appliance auf FactoryDefaultWerte zurücksetzen.
Zusätzlich lassen sich auch Benachrichtigungen aktivieren, diedie zuständigen Mitarbeiter überneue FirmwareReleases informieren und automatische Updates für das Antivirus und das IntrusionProtectionSystem einrichten. Der genannte Bereichwurde logisch strukturiert undsollte keinen Administratoren vorunüberwindbare Hürden stellen.
Optionen zum Einspielen neuerFirmwareDateien und ein SupportBereich, der eine DiagnoseKonsole mit Systemmeldungenund die Möglichkeit zum Download eines SupportFiles mit Systeminformationen bietet, schließen zusammen mit einem ToolsMenü die Übersicht über denSystemstatus ab. Das ToolsMenü umfasst Funktionen wie Ping,einen SSHKeyGenerator undein PacketCaptureWerkzeug.
Mit letzterem lassen sich die dieüber einzelne Interfaces übertragene Daten erfassen und in einem CABFile zur weiteren Ana
lyse – beispielsweise mit einemSniffer – auf den PC herunterladen. Übersichten über IDPSignaturen gehören ebenfalls zuden Tools, genau wie eine AnwendungsLibrary, die eine großeZahl von Applikationen (wieAOL, Sophos AV, Google Playund vieles mehr) umfasst und dieBenutzer darüber informiert, wasdie jeweilige Anwendung machtund welches Gefahrenniveau damit verbunden ist.
Da die Application Library späterbeim Festlegen der Regeln für
die Anwendungsüberwachungzum Einsatz kommt, ergibt esSinn, sich vorab schon einmaldamit auseinander zu setzen.
Die SystemeinstellungenIm Hauptmenü "System" findensich alle Einstellungen zum Konfigurieren der Appliance selbst.Dazu gehören zunächst einmaldie Settings für die Systemzeit,die Zeitzone, die Timeserver undden DNSClient. Zudem legen
die Verantwortlichen hier auchfest, welche Benutzer über welche Netze auf das ManagementInterface der Appliance zugreifendürfen, welche Systeme im Netzvon der NGF Logs und Eventserhalten (über Dienste wie Syslogund SNMP) und wie die Hochverfügbarkeitskonfiguration aussieht, auf die wir später noch genauer eingehen werden.
Ein wichtiger Bestandteil derSystemverwaltung ist das Monitoring. In diesem Zusammenhangspielt zunächst einmal die Über
wachung der Hardware eine Rolle. Standardmäßig hat Clavisterzu diesem Zweck einen Sensorfür die CPUTemperatur eingerichtet, es besteht aber auch dieMöglichkeit, andere Sensoren,die beispielsweise die Stromspannung, den Lüfter und ähnliches im Auge behalten, zu nutzen. Allerdings hängen die verfügbaren Sensoren immer vonder gerade verwendeten Hardware ab.
4
Der InterfaceStatus umfasst auch grafische Darstellungen des übertragenenDatenverkehrs
Der "LinkMonitor" dient im Gegensatz dazu zum Überwachenvon Objekten wie Hosts oderNetzwerken. Sollten diese aus irgendwelchen Gründen nicht erreichbar sein, so ist die Appliancedazu in der Lage, automatischvordefinierte Aktionen, wie Failovers und Neukonfigurierungen,vorzunehmen.
Die Real Time Monitor Alertsüberwachen schließlich bestimmte Werte wie etwa die CPULast,den Durchsatz, die Zahl derSpamMeldungen oder auch dieZahl gedroppter Pakete. Die zuständigen Mitarbeiter können fürdiese Grenzwerte setzen und dieNGF erzeugt LogEinträge, fallsdiese Thresholds überschrittenwerden.
Ansonsten gehören zu den Systemeinstellungen unter anderemnoch eine Benutzerverwaltungfür die lokale UserDatenbank,eine White List, die Einträge enthält, die nicht von IDP und ähnlichen Regeln blockiert werdenkönnen und die Definition derHTTP BannerFiles, die das Aussehen der Authentifizierungsund der Application Level GatewayRestrictionsSeiten festlegen.
Diverse Geräteeinstellungenschließen das SystemMenü ab.Dazu gehören IP Settings wie dieDefault TTL, das Loggen vonChecksummenfehlern und vielesmehr genauso wie TCP Einstellungen wie beispielsweise zurValidierung von Sequence Numbers.
Wenn die Administratoren mitder Maus über einen Eintrag fahren (HoverFunktion), dann zeigtdie W30 zu jeder Konfigurationsoption eine kurze Erklärung an,
was sehr sinnvoll ist, weil sichhier auch Einstellungen finden,die selbst ITMitarbeitern, diesich mit Netzwerkprotokollen gutauskennen, nicht immer präsentsind. Zusätzlich zu den genannten Protokollen lassen sich übrigens auch noch Settings zuICMP, PPP, Connection Ti
meouts, Legth Limits sowie zurFragmentierung und zur lokalenReassembly vornehmen.
Das gleiche gilt für Einstellungenzu SSL, der State Engine, dermaximalen Zahl der PipeBenutzer und zur Diagnose. Im Betriebfiel uns auf, das die Appliancestandardmäßig so eingestellt ist,dass sie anonymisierte Benutzerstatistiken automatisch an Clavister schickt. Das lässt sich zwarhier verhindern, unserer Meinungnach sollte dieser Konfigurationsschritt aber auch im Rahmendes Assistenten zur Erstkonfiguration vorgenommen werden.Settings zur Anwendungskontrolle wie die maximale Zahl unklas
sifizierter Pakete und unklassifizierter Bytes schließen die Systemkonfiguration ab.
ObjekteDie Objekte sind die Grundlagefür die Definition der Policies.Sie umfassen zunächst einmaldas Adressbuch, das IP, Netz
werk und MACAdressen enthält. Bei Bedarf haben die Administratoren auch Gelegenheit, hierneue Host und Netzwerkadressen hinzuzufügen.
Die Services stellen im Gegensatz dazu die im Netz verwendeten Protokolle dar. Clavister hathier bereits eine große Zahl vordefiniert, wie zum Beispiel"all_icmp", "ssh", "ipsec_suite","igmp" oder auch "ping". Auchhier gilt wieder, dass die zuständigen Mitarbeiter jederzeit eigeneEinträge hinzufügen können.
Unter "ALG" finden sich dieEinträge zu den Application Level Gateways. Vordefiniert wur
5
Clavister hat alle relevanten Dienste bereits vordefiniert
den ALGs für H.323 und SIP, eslassen sich bei Bedarf aber aucheigene einfügen, beispielsweisefür HTTP, POP3, PPTP und soweiter. An gleicher Stelle sehendie ITVerantwortlichen auch denKeyRing ein und legen bei Bedarf neue Schlüssel – etwa zumAbsichern von Verbindungen –an.
Ebenfalls von Interesse: dieAdressPools. Hier finden sichIPPools (dynamische Objektemit IPLeases) und NATPools,die in NATRegeln Anwendungfinden können.
Die VPNObjekte dienen zur Definition von Virtual Private Networks. Die VPNKonfigurationerlaubt zunächst einmal das Definieren von LDAPServern, vondenen die NGF bei Bedarf Zertifikate und Certificate RevocationLists (CRLs) herunterladen kann.
Der "IKE Config Mode Pool"weist den VPNClients dann imBetrieb IPAdressen, sowieDNS und WINSServer zu. Ab
gesehen davon lassen sich imRahmen der VPNSettings unteranderem auch noch die zu verwendenden Algorithmen definieren.
NetzwerkSettingsDer Hauptpunkt "Network" dientim Wesentlichen zur Konfiguration der Interfaces, VPNs undRouten. Hier lassen sich folglichdie Einstellungen für die EthernetAdapter mit Adresse, Netzwerk und virtuellem Routing vornehmen. Auch die LinkAggregation kann an dieser Stelle eingerichtet werden, genau wie PP
PoESchnittstellen, VLANs undähnliches.
Ebenfalls interessant: die VPNKonfiguration. Die ClavisterLösung unterstützt IPSec, SSL,GRE sowie 6in4 und kann nichtnur mit PPTP und L2TPServernund Clients kommunizieren,sondern auch mit PPTP V3 undL2TP V3Komponenten. Im Teststellten wir IPSecVerbindungenzu einem LancomRouter vom
Typ 1781A und dem aktuellenNCP VPNClient für Windowsher. Dabei kam es zu keinenSchwierigkeiten.
Damit nicht genug, unterstützendie Netzwerkeinstellungen auch"Interface Groups", in denen sichmehrere Schnittstellen für einfacheres PolicyManagement zusammenfassen lassen. Was dasRouting angeht, so können diezuständigen Mitarbeiter nicht nurstatische Routen setzen, sondernauch Routing Tables auf PolicyBasis realisieren. Abgesehen davon besteht auch die Möglichkeit, Load Balancing mit Hilfeverschiedener Routen zu verwirklichen.
Ebenso unterstützt: dynamischesRouting mit Hilfe von OSPF, virtuelles Routing und MulticastRouting. Unter "Network Services" konfigurieren die Administratoren schließlich DHCPServer und Relays, RadiusRelays, DynDNS und so weiter.
Die RegelnDer Bereich "Policies" stellt dasHerzstück der NGF dar, dennhier richten die zuständigen Mitarbeiter die Regeln ein, die dazudienen, die Datenübertragungenabzusichern. An erster Stelle sindin diesem Zusammenhang die"Main IP Rules" zu nennen.
Diese lassen sich in Gruppen zusammenfassen, um die Übersichtlichkeit und Verwaltbarkeitzu erhöhen. Es ist so beispielsweise möglich, alle Regeln einerGruppe auf einmal zu deaktivieren. Die einzelnen Regeln funktionieren – wie bei den meistenFirewalls üblich – mit Parametern wie Quelle und Ziel der Datenübertragung (Netzwerk, Hostund ähnliches), dem betroffenen
6
Die Definition einer FirewallRegel
Dienst (wie "FTP" oder "all_ip"),dem Zeitraum (in dem die Regelgültig ist) und der durchzuführenden Aktion (Drop, Allow, Deny,Reject). Außerdem haben die Ad
ministratoren auch die Möglichkeit, den Policies Dienste wie dieApplication Control, den WebContent Filter oder auch die AntivirusFunktion hinzufügen, diedann für die jeweiligen Protokolle aktiv werden. Im Test ergabensich dabei keinerlei Schwierigkeiten.
An dieser Stelle noch ein Wortzur eben genannten ApplicationControl. Mit ihr haben die zuständigen Mitarbeiter die Option,Regeln zu erstellen, die nur fürden von einer bestimmten Anwendung generierten Verkehrgelten.
Das funktioniert mit Signaturen,die in einer Datenbank abgelegtwurden. Mit Hilfe der Application Control lassen sich sehr feinabgestufte Policies erzeugen, beispielsweise ist es möglich, einer
bestimmten Nutzergruppe einebestimmte Bandbreite für dieNutzung von Bittorrent zuzuweisen. Damit lässt sich der Datenverkehr im Netz exakt an die Vor
gaben des Unternehmens anpassen.
Unter "Profiles" legen die zuständigen Mitarbeiter die Zeitplänefest, während denen bestimmteRegeln Gültigkeit haben. Außerdem lassen sich unter anderemauch Rahmenbedingungen fürDienste wie den Antivirus (zumBeispiel vom Scan ausgeschlossene Dateitypen oder der Umgang mit komprimierten Dateien)und den Web Content Filter (wiedie zu blockierenden Kategorienwie etwa "Advertising", "Gambling", "Swimsuit", etc.) setzen.Auch die EMailKontrolle mitWhite und Blacklist sowie AntiSpam wird hier konfiguriert.
Was die Benutzerauthentifizierung angeht, so unterstützt dasSystem neben der lokalen Datenbank externe LDAP und Radius
Server. Die Intrusion Preventionarbeitet mit Signaturen, die sichmit Hilfe von Policies nutzen lassen, um den Datenverkehr aufAngriffe zu überwachen und Abwehrmaßnahmen zu treffen.
Diese Policies setzen sich aus einem Namen, dem betroffenenDienst, einem Zeitplan, den genannten Signaturen und ähnlichem zusammen. Die "Zone Defense" kommt wiederum zumEinsatz, um Hosts und Netzwerkemit Hilfe von Switches beimAuftreten von IPS und Threshold RuleVerletzungen zu blockieren. Last but not least verfügtdie W30 auch noch über umfassende Traffic ShapingFunktionen.
InControlInstallationNachdem wir uns durch dasKonfigurationswerkzeug durchgearbeitet und unsere Konfiguration optimiert hatten, installiertenwir auf einem TestClient unterWindows 7 im LAN die ManagementSoftware "InControl".Diese eignet sich – wie bereitsangesprochen – zum Verwaltengroßer Installationen mit vielenNGFs.
Die Software besteht aus einerClient/ServerKombination, aufdiese Weise ist es möglich, sie imNetz sinnvoll zu verteilen undvon mehreren Clients aus daraufzuzugreifen. Die Installation läuftüber einen Wizard ab und solltekeinen Administratoren vor irgendwelche Schwierigkeitenstellen. Sofort nach dem Abschluss des Setups (für den Testinstallierten wir alle Komponenten auf einem System) konntenwir den Client aufrufen und unsmit den DefaultZugangsdaten"admin" und "admin" beim Server anmelden.
Die Konfiguration des Web ContentFilters
7
Im nächsten Schritt mussten wirunsere Gateways zu der InControlKonfiguration hinzufügen.Dazu war es erst einmal erforderlich, auf den einzelnen Gatewayseinen Key zum Absichern derVerbindung zu erzeugen und diesen über den Key Ring für Managementverbindungen freizugeben.
Anschließend können die ITMitarbeiter die IPAdressen der Gateways in InControl angeben unddie jeweils gültigen Keys für dieeinzelnen Appliances eintragen.Danach meldet sich InControl beiden NGFs an und sie erscheinenim Arbeitsbereich der Software.Das klingt jetzt kompliziert, diegenannten Arbeitsschritte warenaber schnell erledigt und da diegesamte Prozedur in der Dokumentation genau beschriebenwurde, sollte es auch hier nirgendwo zu Schwierigkeiten kommen.
Die Arbeit mit InControlNach dem Login mit der Konsolelandet der User zunächst unter"Home". Hier zeigt die Lösungerstmal die "Global Domain" an.Dieser fügen die Administratorenentweder wie eben beschriebenihre vorhandenen Gateways hinzu, oder legen eigene Domainsoder HA Cluster an.
Zu den Clustern kommen wirspäter. Aus Performancegründenempfiehlt Clavister, wo möglichdie Global Domain zu nehmen,in großen Umgebungen kann esaber durchaus Sinn ergeben, eigene Domains zu erzeugen, dadas PolicyManagement bei Bedarf auf Domänenbasis erfolgt.
InControl bietet am oberen Bildschirmrand diverse Reiter, darunter befindet sich eine Ribbon
Leiste, die Icons enthält, mit denen sich zum jeweils ausgewählten Kontext passende Funktionenaufrufen lassen. Der Arbeitsbereich der Lösung erinnert also einwenig an Microsoft Office, wasdie Einarbeitung in das Tool sehrerleichtert.
Der erste Reiter – "File" – dientdazu, Daten zu im und exportieren, den SMTPServer für EMailAlerts zu definieren undähnliches. Interessanter ist derReiter "Home", der – wie ebenerwähnt – auch direkt nach demLogin angezeigt wird.
Hier finden sich die angemeldeten Security Gateways, Listenmit Alarmen und Lizenzdetailsund der Library Browser, mitdem die Benutzer Zugriff auf
Einträge wie die Traffic Summary, die Top App Usage, die TopRule Usage, die Top Talkers undähnliches haben. Außerdem bietet "Home" auch einen Log Explorer (der Queries durchführenkann), ReportingFunktionen (diesich bei Bedarf mit einem Zeitplan automatisieren lassen, es istauch der Versand von Reportsper EMail möglich) und einenLog Analyzer, mit dem sich dieAdministratoren über die Anwendungsnutzung, die Top Talker,
die InterfaceNutzung und soweiter informieren können.
Zusätzlich besteht an gleicherStelle auch die Option, Monitoring Dashboards zu konfigurieren, die den zuständigen Mitarbeitern die für sie interessantenParameter in Form von Gauges,Grafiken und ähnlichem anzeigen, die Benutzer zu verwalten,die entweder als Administratoroder als Auditor auf InControlzugreifen dürfen und Gruppensowie Audit Trails zu managen.Letztere umfassen die Konfigurationsänderungen auf den Gateways und diverse andere Aktionen.
Wählt ein ITMitarbeiter einenGateway aus, so wird das Icon"Configure" aktiv. Über dieses
lassen sich die Appliances einrichten. Auf der linken Seite findet sich eine Baumstruktur, dieden betroffenen Gateway und dieEinträge "System", "Objects","Network", "Policies" und "Update Center" enthält. Über diesehaben die Verantwortlichen Zugriff auf die Funktionalität derNGFs.
Da der Funktionsumfang der Lösungen ja bereits vorgestellt wurde, gehen wir an dieser Stelle
Der Konfigurationsdialog von InControl
8
nicht noch einmal auf die ganzenDetails ein. Es reicht, zu sagen,dass die Baumstruktur sehr übersichtlich gestaltet wurde und dassdie Konfigurationsarbeit mit InControl flott von der Hand ging.
Uns gefiel das InControlInterface im Test sogar besser, als dasWebInterface und wir würden es
selbst Anwendern, die nur eineClavisterFirewall in Betrieb haben, empfehlen, InControl zu installieren und die Konfigurationüber diese Software durchzuführen. Das ist allerdings mit Sicherheit Geschmackssache.
Wie oben bereits erwähnt, kanndie Konfiguration auch auf Domänenbasis ablaufen. Wählt einAdministrator eine Domäne statteines Gateways aus, so erhält erdie Option, Objekte, Dienste,NATPools, Profile und vielesmehr auf Domänenebene an seine Anforderungen anzupassen.
Nach dem Rechtsklick auf einenGateway stehen ihm noch diverseweitere Funktionen zur Verfügung. Dabei handelt es sich umeine Remote Console, eine Revi
sion Control für die Konfigurationen, Device MaintenanceFunktionen (mit Upload Firmware, Download Tech SupportFile,Restart, etc.) und ähnliches.
Erwähnenswert ist in diesem Zusammenhang noch das "QuickMonitor"Feature, dass sichebenfalls über einen Rechtsklick
aufrufen lässt. Dabei handelt essich um ein vordefiniertes MonitoringDashboard, das Informationen zu Durchsatz, CPU undBufferNutzung, der CPUTemperatur, Verbindungen sowie InterfaceStatistiken liefert. Alleüber den Rechtsklick erreichbaren Funktionen stehen auch überIcons in der RibbonLeiste zurVerfügung.
Der "Progress View" zeigt denaktuellen Status, beispielsweisebeim Verteilen von Konfigurationen an. Eine Übersicht über dieaufgelaufenen Fehlermeldungenschließt den Leistungsumfangvon InControl ab.
Die SicherheitAls wir uns durch die Verwaltungswerkzeuge durchgearbeitet
hatten, machten wir uns daran,die Appliance mit diversenHacking und SecurityLösungenin Bezug auf Sicherheitslückenunter die Lupe zu nehmen. Dabeiscannten wir immer die externenund internen Interfaces (die zudiesem Zweck beide mit fixenIPAdressen versehen wurden).
Konkret kam dabei heraus, dassNmap am internen Interface wiezu erwarten die für unsere Konfiguration geöffneten Dienste wieHTTP, SSH und ähnliches erkannte. Außerdem vermutete dasTool, dass es sich bei der Appliance um ein DLinkGerät handele, gab aber gleich an, dassdiese Aussage nicht zuverlässigsei. Am externen Interface warenalle Ports gefiltert, deswegenkonnte Nmap nicht viele Informationen erlangen. Immerhinstellte der Scanner anhand derMACAdresse fest, dass es eineClavisterLösung war.
Nessus erkannte am internen Interface ebenfalls die freigegebenen Dienste, sogar mit der Version der verwendeten Server, undbemängelte das auf der Applianceinstallierte Zertifikat. Das warnur folgerichtig, da wir dasselbstgenerierte Originalzertifikatvon Clavister auf der Appliancebelassen hatten und stellt somitkein Sicherheitsrisiko dar. Außerdem gab Nessus an, dass essich um eine ClavisterLösunghandele. Am externen Interfacefand Nessus nichts. Metasploitwar genau wie nmap nach demScan des internen Interfaces derMeinung, es handele sich um eine DLinkAppliance. Außerdemerkannte die Sicherheitslösungwie zu erwarten die freigegebenen Dienste. Am externen Interface konnte sie ebenfalls nichtsfinden.
Der "Quick Monitor" im Betrieb
9
Weder an internen noch am externen Interface konnte eines unsere AngriffsTools die ClavisterLösung in Verlegenheit bringen.Sie blieb von den Attacken völligunbeeindruckt und überstand denSicherheitstest somit unbeschadet.
HochverfügbarkeitIn nächsten Schritt verwendetenwir InControl, um mit unserenbeiden NGFs einen Cluster aufzusetzen. Dazu kamen wieder fixe IPAdressen auf den WANInterfaces zum Einsatz.
Zunächst fügten wir unsere beiden Gateways zu dem InControl
System hinzu und konfiguriertenden späteren MasterGateway so,dass er unsere Anforderungen erfüllte. Im Wesentlichen übernahmen wir dazu unsere alte Konfiguration, wir wiesen parallel dazu den Interfaces aber noch diverse IPAdressen hinzu.
Damit die ClusterKonfigurationfunktioniert, müssen alle Interfaces der Appliances nämlich sowohl eine Shared IPAdresse, alsauch eine Private IPAdresse (beiungenutzten Interfaces kann dasLoopback sein) haben. Sobalddas erledigt war, genügte es, inInControl einen Cluster zu definieren, zwei Interfaces der Gate
ways als SynchronisierungsInterfaces zu verbinden und zuerstden Master und dann den Slavezu dem Cluster hinzuzufügen.
Sobald das geschehen war, fragteInControl nach dem Modus, indem der Cluster betrieben werden sollte. Hier stehen drei verschiedene Optionen zur Auswahl.Zunächst einmal "Synced". Dabei wird die gesamte Konfiguration von InControl verwaltet underst auf den ersten und nach einerPause auf den zweiten Knotenhochgeladen. In diesem Modusist es nicht mehr möglich, denCluster parallel über das WebInterface zu verwalten, es muss
zum Management InControl zumEinsatz kommen. Im Modus"Auto" lädt das Werkzeug dieKonfiguration nur auf den erstenNode hoch und der Cluster übernimmt den SyncVorgang. Diedritte Möglichkeit nennt sichschließlich "manuell". Hier bleibtalles dem Administrator überlassen.
Hat man sich für einen Modusentschieden, wir wählten im Testdie zweite Option (da wir weiterhin parallel das WebInterfacenutzen wollten), fragt InControl,welche Netzwerkschnittstellenfür die Synchronisierung zumEinsatz kommen. Nachdem wir
diese Frage beantwortet hatten,lud das Tool die Konfigurationauf den ersten Node hoch, dieSynchronisierung fand statt undder Cluster ging in Betrieb.
Im Test traten beim Failover keine Schwierigkeiten auf. LautHersteller nimmt der Failoverübrigens weniger als 800 Millisekunden in Anspruch. Clusterlassen sich – wie bereits erwähnt– auch über das WebInterfaceerzeugen. Dazu steht ein Wizardzur Verfügung, der die erforderlichen Parameter abfragt.
FazitIm Test hinterließ die ClavisterW30 einen hervorragenden Eindruck. Die Lösung verfügt überalle Sicherheitsfunktionen, die imUnternehmensumfeld erforderlich sind. In diesem Zusammenhang seien exemplarisch nur dieNextGenerationFirewall, dasIPS, der Web Filter, die Anwendungskontrolle sowie die Antivirus und AntiSpamFeatures genannt. Das zentrale Verwaltungstool ist vorbildlich, die Routingfunktionen wurden leistungsstarkgestaltet und mit dem WebInterface und der CLI stehen Administratoren umfassende Alternativwerkzeuge zum Verwalten derAppliances zur Verfügung, diefalls erforderlich auch parallelzueinander Verwendung finden.
Für Anwendungsbereiche, in denen Hochverfügbarkeit benötigtwird, stellt Clavister zudem einfach zu bedienende Funktionenbereit, mit denen sich Clusterschnell und einfach implementieren lassen. Wir können die Lösungen damit rundherum empfehlen.
Dr. Götz Güttich leitet das IAITin Korschenbroich.
Cluster lassen sich im Betrieb genau wie einzelne Gateways verwalten
10