Die Clavister W30, die für denEinsatz in Zweigstellen,entfern­ten Niederlassungen und kleinenRechenzentren konzipiert wurde,bringt – wie bei modernen NextGeneration­Firewalls (NGFs) üb­lich – neben der eigentlichen Fi­rewall­Funktionalität mit DeepPacket­Inspection auch VPNs(IPSec, L2TP, PPTP und SSL),erweitertes Routing (auch auf Po­licy­Basis) und Anti­Spam­Fea­tures mit. Dazu kommen nochAnti­Virus­Funktionen (von Kas­persky), ein IPS, Load­Balan­cing, Bandwidth­Management,Link­Aggregation, ein Web Filterund Funktionen zur Anwen­dungskontrolle. Die Applianceverfügt über sechs GBit­Ether­net­Schnittstellen und einen Ex­pansion Slot und unterstütztHochverfügbarkeit, um die NGF­Installation ausfallsicher zu ma­chen.

Der TestIm Test richteten wir zunächst ei­ne der W30­Lösungen als Inter­net­Gateway in unserem Netz

ein. Dazu verbanden wir das Pro­dukt mit Netzwerk­Switch undDSL­Modem und fuhren es hoch.Anschließend griffen wir mit ei­nem Browser auf das Web­ba­sierte Management­Interface derAppliance zu und führten dieErstkonfiguration durch. Alterna­tiv steht auch eine Kommando­zeile zur Verfügung, über die sichbeispielsweise Batch­Dateienausführen lassen, was Sinn er­gibt, wenn viele neue Geräte au­tomatisch konfiguriert werdensollen.

Nachdem die Erstkonfigurationerfolgt war, setzten wir uns imDetail mit dem Konfigurations­werkzeug auf Browser­Basis (daslaut Hersteller am besten für die

Verwaltung von einzelnen App­liances geeignet ist) auseinanderund lernten dabei den Funktions­umfang der Lösung kennen. Zu­dem passten wir die Konfigurati­on genau an unsere Anforderun­gen an.

Im nächsten Schritt bauten wirdiverse VPN­Verbindungen zuexternen Netzen und Geräten auf.Sobald das erledigt war, instal­lierten wir auf einer Windows 7­Workstation das zentrale Mana­gement­Werkzeug Clavister In­Control, das nach Herstelleran­gaben mehrere tausend Gatewaysverwalten kann, und fügten unse­ren Gateway zur InControl­Kon­figuration hinzu. Anschließendnahmen wir uns InControl selbst

Im Test: Clavister W30

Hochverfügbare Next Generation­

Dr. Götz Güttich

Mit den Appliances der Eagle­ und der Wolf­Serie bietet Clavister Next Generation­Firewalls an, die sich vor allem für Umgebungen eignen, in denen mehrere Firewalls

zum Einsatz kommen, beispielsweise in verteilten Netzen. Ein zentralesVerwaltungstool sorgt dabei dafür, dass die zuständigen Mitarbeiter stets den

Überblick behalten. Die Appliances sind in verschiedenen Hardware­Ausstattungenerhältlich, das bedeutet die Unternehmen können in jeder Niederlassung genau die

Appliance einsetzen, die am besten auf die Leistungsanforderungen im jeweiligen Umfeldabgestimmt ist. Da sich die Hardware­Lösungen nur in ihrer Leistungsfähigkeit

unterscheiden – von der Funktionalität her sind alle Produkte identisch – gilt dieser Test,der mit zwei Clavister W30 durchgeführt wurde, gleichermaßen auch für die anderen Next

Generation­Firewalls des gleichen Herstellers.

1

Firewall für verteilte Netze

vor und analysierten den Leis­tungsumfang der Lösung.

Als dieser Vorgang abgeschlos­sen war, analysierten wir die in­ternen und externen Interfacesder Appliance mit diversen Si­cherheitstools wie Nessus, Nmapund Metasploit. Das externe In­terface hatten wir zu diesemZweck mit einer festen IP­Adres­se versehen.

Unser Ziel dabei war, herauszu­finden, ob Sicherheitslückenexistierten oder ob die Lösungüberflüssige Informationen preis­gab, die Hackern bei Angriffenhelfen könnten. Darüber hinausverwendeten wir auch etliche An­griffs­Tools, um beispielsweiseDoS­Attacken auf die Appliancedurchzuführen und zu testen, wiesie darauf reagierte.

Zum Schluss bauten wir unsereTestinstallation so um, dass wirdie Hochverfügbarkeitsfunktionder Produkte (HA) unter die Lu­pe nehmen konnten. Da das HA­Feature nicht mit dynamisch zu­gewiesenen externen IP­Adres­sen und PPPoE­Anschlüssen zu­rechtkommt, schlossen wir zudiesem Zweck beide Applianceshinter einem Router, der den In­ternet­Zugang übernahm, alsCuster zusammen. Dabei behiel­ten wir die Konfiguration mit derfesten externen IP­Adresse bei.Im Cluster übernahm das ur­sprünglich von uns konfigurierteSystem die Rolle des Masters,die zweite Appliance, die wir zu­vor noch nicht angefasst hatten,kam als Slave zum Einsatz, derseine Konfiguration vom Mastererhielt.

InbetriebnahmeDie Inbetriebnahme der W30 ge­staltet sich verhältnismäßig ein­

fach. Es genügt, das Produkt aus­zupacken, und den beiliegendenQuick Start­Guide abzuarbeiten.Dieser empfiehlt, das erste Inter­face als LAN­Schnittstelle zuverwenden und das zweite fürden WAN­Anschluss zu nutzen.Sobald alle Kabel angeschlossensind, lassen die zuständigen Mit­arbeiter die Appliance hochfah­ren und können sich dann überdie Default­IP­Adresse htt­ps://192.168.1.1 mit dem Web­Interface des Produkts verbinden.

Daraufhin landen sie auf derÜbersichtsseite des Verwaltungs­werkzeugs. Diese bietet an, den

"Setup Wizard" zu starten, derbei der Erstkonfiguration der Lö­sung behilflich ist.

Nachdem wir diesen Schrittdurchgeführt hatten, präsentierteuns das System einen Willkom­mensbildschirm, der uns darüberinformierte, welche Schritte derAssistent durchführen würde. Zu­nächst einmal ging es daran, einneues Passwort für das Adminis­tratorkonto zu setzen, was Sinnergibt, da dadurch sichergestelltwird, dass keine Clavister­App­liances mit Standard­Passwörternim Netz arbeiten.

Der nächste Schritt befasste sichmit dem Einstellen der richtigenUhrzeit und der Konfiguration

der Zeitzone. Danach kam dieKonfiguration des WAN­Interfa­ces an die Reihe. Wie bereits an­gesprochen, verwendeten wir dieAppliance zu Beginn als Internet­Gateway an einem DSL­An­schluss der Telekom.

Deswegen wählten wir für dieWAN­Konfiguration die Option"PPPoE". Alternativ arbeitet dieLösung auch mit festen und perDHCP zugewiesenen IP­Adres­sen oder PPTP. Für die PPPoE­Konfiguration reichte es, den Be­nutzernamen sowie das Passwortanzugeben und dem Dienst einenNamen zu geben, damit war die

Einrichtung der WAN­Schnitt­stelle abgeschlossen.

Jetzt ging es daran, einen DHCP­Server für das LAN anzulegen.Dabei vertippten wir uns undstellten bei dieser Gelegenheitfest, dass der Wizard auf fehler­hafte Konfigurationsangabenhinweist und eine Korrektur ver­langt. Man kann sich also daraufverlassen, dass die Erstkonfigu­ration im Großen und Ganzenkorrekt abläuft.

Zum Schluss möchte der Assis­tent noch wissen, welche Zeitser­ver die Systemzeit auf demneuesten Stand halten und welcheSyslog­Server zum Einsatz kom­men sollen, um Daten von der

2

Der Setup­Wizard mach die Benutzer auf Fehler in der Konfiguration auf­merksam

Appliance zu empfangen. Damitist die Erstkonfiguration beendetund die Änderungen werdenübernommen. Üblicherweise ge­hört die Lizenzierung des Pro­dukts auch mit zum Funktions­umfang des Wizards, dieserSchritt entfiel bei uns aber, daunsere Test­Appliances bereitsmit einer installierten Lizenz ka­men.

Das Anpassen der LAN­Adresseerfolgt dann manuell über dasWeb­basierte Konfigurations­werkzeug. Dieser Schritt wird imauf der Clavister­Webseite zumDownload angebotenen "Getting

Started Guide" zwar genau be­schrieben, so dass sich im Testdabei keine Probleme ergaben,unserer Meinung nach gehört eraber ebenfalls zur Erstkonfigura­tion und sollte deshalb innerhalbdes Assistenten abgearbeitet wer­den.

Das gleiche gilt für die Definiti­on der Regeln für den Internet­Zugang. Standardmäßig erlaubtClavister nach der Erstkonfigura­tion die Dienste DNS und HTTPfür den Zugriff auf das externeNetz. Dies lässt sich über das

Verwaltungswerkzeug natürlichjederzeit ändern, trotzdem wärees schön, wenn der Wizard zu­mindest beim Erstellen einer ru­dimentären, etwas genauer an dieUnternehmensanforderungen an­gepassten, Internetzugriffs­Policyhelfen würde.

Das Web­basierte Konfigurati­onswerkzeugNachdem wir die Initialkonfigu­ration abgeschlossen hatten,loggten wir uns über unsere neueLAN­Adresse bei der NGF einund definierten zunächst einmalam dritten Interface der Applian­ce ein Gäste­LAN. In diesem

platzierten wir einen WLAN­Ac­cess­Point, über den Besucherüber unseren Internet­Anschlusssurfen konnten, ohne unsereLAN­Komponenten zu sehen. ImWesentlichen kopierten wir dazuam dritten Interface unsere LAN­Konfiguration mit einem zusätz­lichen DHCP­Server und einemanderen Subnet. Das Gäste­WLAN funktionierte anschlie­ßend wie erwartet.

Als wir auf diese Weise sicherge­stellt hatten, dass alle Anwenderin unserem Netz über die Clavis­

ter­Appliance Zugriff auf das In­ternet erhielten, gingen wir dazuüber, uns mit dem Konfigurati­onswerkzeug selbst und damitdem Funktionsumfang der Lö­sung auseinanderzusetzen, undpassten dabei unser Setting gleichgenau an unsere Anforderungenan. Zunächst aktualisierten wirdazu die Firmware der Applianceauf das zum Testzeitpunkt aktu­elle cOS Core 11.02.01.03, umsicher zu stellen, dass wir mit derneuesten Version arbeiteten.

Nach dem Login beim Web­In­terface findet sich der Adminis­trator auf einer Statusseite wie­der, die ihn über den aktuellenZustand der NGF informiert. Amoberen Rand des Fensters er­scheint eine Menüleiste und aufder linken Seite befindet sich ei­ne Baumstruktur, die die zu demjeweils aufgerufenen Menü ge­hörenden Einträge enthält.

Die eben genannte Statusseiteenthält eine Systemübersicht mitDurchsatz, Verbindungen, CPU­Last, Speichernutzung, System­zeit, den Top fünf Anwendungen,den Top fünf Web Content FilterKategorien und ähnlichem. Di­rekt darunter lassen sich diverseLog­Dateien einsehen unddurchsuchen. Dazu gehören dasSystem Log, das Antivirus Log,das Log zur Anwendungskon­trolle, das Intrusion DetectionLog und das Content Filter Log.

Unter "Sub Systems" sehen dieAdministratoren die aktuelleBlacklist ein und haben die Opti­on, bestehende Blockierungenaufzuheben. Außerdem bestehtdie Möglichkeit, die vorhandenenVerbindungen in Listenform un­ter die Lupe zu nehmen. Darüberhinaus lassen sich an gleicherStelle die DHCP­Server konfigu­

3

Die Statusseite bietet unter anderem auch Content Filter­Statistiken an

rieren, die Hardware überwachen(beispielsweise die CPU­Tempe­ratur) und die Aktivitäten der In­terfaces anzeigen. Die Interface­Übersicht umfasst auch grafischeInformationen zur Send­ und Re­ceive­Rate. Zusätzlich präsentiertdas System unter Sub Systemsauch noch die Routing­Table,Daten zum Server Load Balan­cing und ähnliches.

Das Submenü "Maintenance"bietet den Anwendern die Mög­lichkeit, die Konfiguration unddie Core Binaries zu sichern undwiederherzustellen. Außerdemkönnen sie auch eine neue Lizenzeinspielen, einen Reset durchfüh­ren, oder die Appliance auf Fac­tory­Default­Werte zurücksetzen.

Zusätzlich lassen sich auch Be­nachrichtigungen aktivieren, diedie zuständigen Mitarbeiter überneue Firmware­Releases infor­mieren und automatische Upda­tes für das Antivirus­ und das In­trusion­Protection­System ein­richten. Der genannte Bereichwurde logisch strukturiert undsollte keinen Administratoren vorunüberwindbare Hürden stellen.

Optionen zum Einspielen neuerFirmware­Dateien und ein Sup­port­Bereich, der eine Diagnose­Konsole mit Systemmeldungenund die Möglichkeit zum Down­load eines Support­Files mit Sys­teminformationen bietet, schlie­ßen zusammen mit einem Tools­Menü die Übersicht über denSystemstatus ab. Das Tools­Me­nü umfasst Funktionen wie Ping,einen SSH­Key­Generator undein Packet­Capture­Werkzeug.

Mit letzterem lassen sich die dieüber einzelne Interfaces übertra­gene Daten erfassen und in ei­nem CAB­File zur weiteren Ana­

lyse – beispielsweise mit einemSniffer – auf den PC herunterla­den. Übersichten über IDP­Si­gnaturen gehören ebenfalls zuden Tools, genau wie eine An­wendungs­Library, die eine großeZahl von Applikationen (wieAOL, Sophos AV, Google Playund vieles mehr) umfasst und dieBenutzer darüber informiert, wasdie jeweilige Anwendung machtund welches Gefahrenniveau da­mit verbunden ist.

Da die Application Library späterbeim Festlegen der Regeln für

die Anwendungsüberwachungzum Einsatz kommt, ergibt esSinn, sich vorab schon einmaldamit auseinander zu setzen.

Die SystemeinstellungenIm Hauptmenü "System" findensich alle Einstellungen zum Kon­figurieren der Appliance selbst.Dazu gehören zunächst einmaldie Settings für die Systemzeit,die Zeitzone, die Timeserver undden DNS­Client. Zudem legen

die Verantwortlichen hier auchfest, welche Benutzer über wel­che Netze auf das Management­Interface der Appliance zugreifendürfen, welche Systeme im Netzvon der NGF Logs und Eventserhalten (über Dienste wie Syslogund SNMP) und wie die Hoch­verfügbarkeitskonfiguration aus­sieht, auf die wir später noch ge­nauer eingehen werden.

Ein wichtiger Bestandteil derSystemverwaltung ist das Moni­toring. In diesem Zusammenhangspielt zunächst einmal die Über­

wachung der Hardware eine Rol­le. Standardmäßig hat Clavisterzu diesem Zweck einen Sensorfür die CPU­Temperatur einge­richtet, es besteht aber auch dieMöglichkeit, andere Sensoren,die beispielsweise die Strom­spannung, den Lüfter und ähnli­ches im Auge behalten, zu nut­zen. Allerdings hängen die ver­fügbaren Sensoren immer vonder gerade verwendeten Hardwa­re ab.

4

Der Interface­Status umfasst auch grafische Darstellungen des übertragenenDatenverkehrs

Der "Link­Monitor" dient im Ge­gensatz dazu zum Überwachenvon Objekten wie Hosts oderNetzwerken. Sollten diese aus ir­gendwelchen Gründen nicht er­reichbar sein, so ist die Appliancedazu in der Lage, automatischvordefinierte Aktionen, wie Fai­lovers und Neukonfigurierungen,vorzunehmen.

Die Real Time Monitor Alertsüberwachen schließlich bestimm­te Werte wie etwa die CPU­Last,den Durchsatz, die Zahl derSpam­Meldungen oder auch dieZahl gedroppter Pakete. Die zu­ständigen Mitarbeiter können fürdiese Grenzwerte setzen und dieNGF erzeugt Log­Einträge, fallsdiese Thresholds überschrittenwerden.

Ansonsten gehören zu den Syste­meinstellungen unter anderemnoch eine Benutzerverwaltungfür die lokale User­Datenbank,eine White List, die Einträge ent­hält, die nicht von IDP­ und ähn­lichen Regeln blockiert werdenkönnen und die Definition derHTTP Banner­Files, die das Aus­sehen der Authentifizierungs­und der Application Level Gate­way­Restrictions­Seiten festle­gen.

Diverse Geräteeinstellungenschließen das System­Menü ab.Dazu gehören IP Settings wie dieDefault TTL, das Loggen vonChecksummenfehlern und vielesmehr genauso wie TCP Einstel­lungen wie beispielsweise zurValidierung von Sequence Num­bers.

Wenn die Administratoren mitder Maus über einen Eintrag fah­ren (Hover­Funktion), dann zeigtdie W30 zu jeder Konfigurations­option eine kurze Erklärung an,

was sehr sinnvoll ist, weil sichhier auch Einstellungen finden,die selbst IT­Mitarbeitern, diesich mit Netzwerkprotokollen gutauskennen, nicht immer präsentsind. Zusätzlich zu den genann­ten Protokollen lassen sich übri­gens auch noch Settings zuICMP, PPP, Connection Ti­

meouts, Legth Limits sowie zurFragmentierung und zur lokalenReassembly vornehmen.

Das gleiche gilt für Einstellungenzu SSL, der State Engine, dermaximalen Zahl der Pipe­Benut­zer und zur Diagnose. Im Betriebfiel uns auf, das die Appliancestandardmäßig so eingestellt ist,dass sie anonymisierte Benutzer­statistiken automatisch an Clavis­ter schickt. Das lässt sich zwarhier verhindern, unserer Meinungnach sollte dieser Konfigurati­onsschritt aber auch im Rahmendes Assistenten zur Erstkonfigu­ration vorgenommen werden.Settings zur Anwendungskontrol­le wie die maximale Zahl unklas­

sifizierter Pakete und unklassifi­zierter Bytes schließen die Sys­temkonfiguration ab.

ObjekteDie Objekte sind die Grundlagefür die Definition der Policies.Sie umfassen zunächst einmaldas Adressbuch, das IP­, Netz­

werk­ und MAC­Adressen ent­hält. Bei Bedarf haben die Admi­nistratoren auch Gelegenheit, hierneue Host­ und Netzwerkadres­sen hinzuzufügen.

Die Services stellen im Gegen­satz dazu die im Netz verwende­ten Protokolle dar. Clavister hathier bereits eine große Zahl vor­definiert, wie zum Beispiel"all_icmp", "ssh", "ipsec_suite","igmp" oder auch "ping". Auchhier gilt wieder, dass die zustän­digen Mitarbeiter jederzeit eigeneEinträge hinzufügen können.

Unter "ALG" finden sich dieEinträge zu den Application Le­vel Gateways. Vordefiniert wur­

5

Clavister hat alle relevanten Dienste bereits vordefiniert

den ALGs für H.323 und SIP, eslassen sich bei Bedarf aber aucheigene einfügen, beispielsweisefür HTTP, POP3, PPTP und soweiter. An gleicher Stelle sehendie IT­Verantwortlichen auch denKey­Ring ein und legen bei Be­darf neue Schlüssel – etwa zumAbsichern von Verbindungen –an.

Ebenfalls von Interesse: dieAdress­Pools. Hier finden sichIP­Pools (dynamische Objektemit IP­Leases) und NAT­Pools,die in NAT­Regeln Anwendungfinden können.

Die VPN­Objekte dienen zur De­finition von Virtual Private Net­works. Die VPN­Konfigurationerlaubt zunächst einmal das Defi­nieren von LDAP­Servern, vondenen die NGF bei Bedarf Zerti­fikate und Certificate RevocationLists (CRLs) herunterladen kann.

Der "IKE Config Mode Pool"weist den VPN­Clients dann imBetrieb IP­Adressen, sowieDNS­ und WINS­Server zu. Ab­

gesehen davon lassen sich imRahmen der VPN­Settings unteranderem auch noch die zu ver­wendenden Algorithmen definie­ren.

Netzwerk­SettingsDer Hauptpunkt "Network" dientim Wesentlichen zur Konfigurati­on der Interfaces, VPNs undRouten. Hier lassen sich folglichdie Einstellungen für die Ether­net­Adapter mit Adresse, Netz­werk und virtuellem Routing vor­nehmen. Auch die Link­Aggrega­tion kann an dieser Stelle einge­richtet werden, genau wie PP­

PoE­Schnittstellen, VLANs undähnliches.

Ebenfalls interessant: die VPN­Konfiguration. Die Clavister­Lö­sung unterstützt IPSec, SSL,GRE sowie 6in4 und kann nichtnur mit PPTP­ und L2TP­Servernund ­Clients kommunizieren,sondern auch mit PPTP V3­ undL2TP V3­Komponenten. Im Teststellten wir IPSec­Verbindungenzu einem Lancom­Router vom

Typ 1781A und dem aktuellenNCP VPN­Client für Windowsher. Dabei kam es zu keinenSchwierigkeiten.

Damit nicht genug, unterstützendie Netzwerkeinstellungen auch"Interface Groups", in denen sichmehrere Schnittstellen für einfa­cheres Policy­Management zu­sammenfassen lassen. Was dasRouting angeht, so können diezuständigen Mitarbeiter nicht nurstatische Routen setzen, sondernauch Routing Tables auf Policy­Basis realisieren. Abgesehen da­von besteht auch die Möglich­keit, Load Balancing mit Hilfeverschiedener Routen zu ver­wirklichen.

Ebenso unterstützt: dynamischesRouting mit Hilfe von OSPF, vir­tuelles Routing und Multicast­Routing. Unter "Network Ser­vices" konfigurieren die Admi­nistratoren schließlich DHCP­Server und ­Relays, Radius­Re­lays, DynDNS und so weiter.

Die RegelnDer Bereich "Policies" stellt dasHerzstück der NGF dar, dennhier richten die zuständigen Mit­arbeiter die Regeln ein, die dazudienen, die Datenübertragungenabzusichern. An erster Stelle sindin diesem Zusammenhang die"Main IP Rules" zu nennen.

Diese lassen sich in Gruppen zu­sammenfassen, um die Über­sichtlichkeit und Verwaltbarkeitzu erhöhen. Es ist so beispiels­weise möglich, alle Regeln einerGruppe auf einmal zu deaktivie­ren. Die einzelnen Regeln funk­tionieren – wie bei den meistenFirewalls üblich – mit Parame­tern wie Quelle und Ziel der Da­tenübertragung (Netzwerk, Hostund ähnliches), dem betroffenen

6

Die Definition einer Firewall­Regel

Dienst (wie "FTP" oder "all_ip"),dem Zeitraum (in dem die Regelgültig ist) und der durchzuführen­den Aktion (Drop, Allow, Deny,Reject). Außerdem haben die Ad­

ministratoren auch die Möglich­keit, den Policies Dienste wie dieApplication Control, den WebContent Filter oder auch die Anti­virus­Funktion hinzufügen, diedann für die jeweiligen Protokol­le aktiv werden. Im Test ergabensich dabei keinerlei Schwierig­keiten.

An dieser Stelle noch ein Wortzur eben genannten ApplicationControl. Mit ihr haben die zu­ständigen Mitarbeiter die Option,Regeln zu erstellen, die nur fürden von einer bestimmten An­wendung generierten Verkehrgelten.

Das funktioniert mit Signaturen,die in einer Datenbank abgelegtwurden. Mit Hilfe der Applicati­on Control lassen sich sehr feinabgestufte Policies erzeugen, bei­spielsweise ist es möglich, einer

bestimmten Nutzergruppe einebestimmte Bandbreite für dieNutzung von Bittorrent zuzuwei­sen. Damit lässt sich der Daten­verkehr im Netz exakt an die Vor­

gaben des Unternehmens anpas­sen.

Unter "Profiles" legen die zustän­digen Mitarbeiter die Zeitplänefest, während denen bestimmteRegeln Gültigkeit haben. Außer­dem lassen sich unter anderemauch Rahmenbedingungen fürDienste wie den Antivirus (zumBeispiel vom Scan ausgeschlos­sene Dateitypen oder der Um­gang mit komprimierten Dateien)und den Web Content Filter (wiedie zu blockierenden Kategorienwie etwa "Advertising", "Gamb­ling", "Swimsuit", etc.) setzen.Auch die E­Mail­Kontrolle mitWhite­ und Blacklist sowie Anti­Spam wird hier konfiguriert.

Was die Benutzerauthentifizie­rung angeht, so unterstützt dasSystem neben der lokalen Daten­bank externe LDAP­ und Radius­

Server. Die Intrusion Preventionarbeitet mit Signaturen, die sichmit Hilfe von Policies nutzen las­sen, um den Datenverkehr aufAngriffe zu überwachen und Ab­wehrmaßnahmen zu treffen.

Diese Policies setzen sich aus ei­nem Namen, dem betroffenenDienst, einem Zeitplan, den ge­nannten Signaturen und ähnli­chem zusammen. Die "Zone De­fense" kommt wiederum zumEinsatz, um Hosts und Netzwerkemit Hilfe von Switches beimAuftreten von IPS­ und Thres­hold Rule­Verletzungen zu blo­ckieren. Last but not least verfügtdie W30 auch noch über umfas­sende Traffic Shaping­Funktio­nen.

InControl­InstallationNachdem wir uns durch dasKonfigurationswerkzeug durch­gearbeitet und unsere Konfigura­tion optimiert hatten, installiertenwir auf einem Test­Client unterWindows 7 im LAN die Mana­gement­Software "InControl".Diese eignet sich – wie bereitsangesprochen – zum Verwaltengroßer Installationen mit vielenNGFs.

Die Software besteht aus einerClient/Server­Kombination, aufdiese Weise ist es möglich, sie imNetz sinnvoll zu verteilen undvon mehreren Clients aus daraufzuzugreifen. Die Installation läuftüber einen Wizard ab und solltekeinen Administratoren vor ir­gendwelche Schwierigkeitenstellen. Sofort nach dem Ab­schluss des Setups (für den Testinstallierten wir alle Komponen­ten auf einem System) konntenwir den Client aufrufen und unsmit den Default­Zugangsdaten"admin" und "admin" beim Ser­ver anmelden.

Die Konfiguration des Web Content­Filters

7

Im nächsten Schritt mussten wirunsere Gateways zu der InCon­trol­Konfiguration hinzufügen.Dazu war es erst einmal erforder­lich, auf den einzelnen Gatewayseinen Key zum Absichern derVerbindung zu erzeugen und die­sen über den Key Ring für Mana­gementverbindungen freizuge­ben.

Anschließend können die IT­Mit­arbeiter die IP­Adressen der Ga­teways in InControl angeben unddie jeweils gültigen Keys für dieeinzelnen Appliances eintragen.Danach meldet sich InControl beiden NGFs an und sie erscheinenim Arbeitsbereich der Software.Das klingt jetzt kompliziert, diegenannten Arbeitsschritte warenaber schnell erledigt und da diegesamte Prozedur in der Doku­mentation genau beschriebenwurde, sollte es auch hier nir­gendwo zu Schwierigkeiten kom­men.

Die Arbeit mit InControlNach dem Login mit der Konsolelandet der User zunächst unter"Home". Hier zeigt die Lösungerstmal die "Global Domain" an.Dieser fügen die Administratorenentweder wie eben beschriebenihre vorhandenen Gateways hin­zu, oder legen eigene Domainsoder HA Cluster an.

Zu den Clustern kommen wirspäter. Aus Performancegründenempfiehlt Clavister, wo möglichdie Global Domain zu nehmen,in großen Umgebungen kann esaber durchaus Sinn ergeben, ei­gene Domains zu erzeugen, dadas Policy­Management bei Be­darf auf Domänenbasis erfolgt.

InControl bietet am oberen Bild­schirmrand diverse Reiter, darun­ter befindet sich eine Ribbon­

Leiste, die Icons enthält, mit de­nen sich zum jeweils ausgewähl­ten Kontext passende Funktionenaufrufen lassen. Der Arbeitsbe­reich der Lösung erinnert also einwenig an Microsoft Office, wasdie Einarbeitung in das Tool sehrerleichtert.

Der erste Reiter – "File" – dientdazu, Daten zu im­ und exportie­ren, den SMTP­Server für E­Mail­Alerts zu definieren undähnliches. Interessanter ist derReiter "Home", der – wie ebenerwähnt – auch direkt nach demLogin angezeigt wird.

Hier finden sich die angemelde­ten Security Gateways, Listenmit Alarmen und Lizenzdetailsund der Library Browser, mitdem die Benutzer Zugriff auf

Einträge wie die Traffic Summa­ry, die Top App Usage, die TopRule Usage, die Top Talkers undähnliches haben. Außerdem bie­tet "Home" auch einen Log Ex­plorer (der Queries durchführenkann), Reporting­Funktionen (diesich bei Bedarf mit einem Zeit­plan automatisieren lassen, es istauch der Versand von Reportsper E­Mail möglich) und einenLog Analyzer, mit dem sich dieAdministratoren über die Anwen­dungsnutzung, die Top Talker,

die Interface­Nutzung und soweiter informieren können.

Zusätzlich besteht an gleicherStelle auch die Option, Monito­ring Dashboards zu konfigurie­ren, die den zuständigen Mitar­beitern die für sie interessantenParameter in Form von Gauges,Grafiken und ähnlichem anzei­gen, die Benutzer zu verwalten,die entweder als Administratoroder als Auditor auf InControlzugreifen dürfen und Gruppensowie Audit Trails zu managen.Letztere umfassen die Konfigu­rationsänderungen auf den Gate­ways und diverse andere Aktio­nen.

Wählt ein IT­Mitarbeiter einenGateway aus, so wird das Icon"Configure" aktiv. Über dieses

lassen sich die Appliances ein­richten. Auf der linken Seite fin­det sich eine Baumstruktur, dieden betroffenen Gateway und dieEinträge "System", "Objects","Network", "Policies" und "Up­date Center" enthält. Über diesehaben die Verantwortlichen Zu­griff auf die Funktionalität derNGFs.

Da der Funktionsumfang der Lö­sungen ja bereits vorgestellt wur­de, gehen wir an dieser Stelle

Der Konfigurationsdialog von InControl

8

nicht noch einmal auf die ganzenDetails ein. Es reicht, zu sagen,dass die Baumstruktur sehr über­sichtlich gestaltet wurde und dassdie Konfigurationsarbeit mit In­Control flott von der Hand ging.

Uns gefiel das InControl­Inter­face im Test sogar besser, als dasWeb­Interface und wir würden es

selbst Anwendern, die nur eineClavister­Firewall in Betrieb ha­ben, empfehlen, InControl zu in­stallieren und die Konfigurationüber diese Software durchzufüh­ren. Das ist allerdings mit Sicher­heit Geschmackssache.

Wie oben bereits erwähnt, kanndie Konfiguration auch auf Do­mänenbasis ablaufen. Wählt einAdministrator eine Domäne statteines Gateways aus, so erhält erdie Option, Objekte, Dienste,NAT­Pools, Profile und vielesmehr auf Domänenebene an sei­ne Anforderungen anzupassen.

Nach dem Rechtsklick auf einenGateway stehen ihm noch diverseweitere Funktionen zur Verfü­gung. Dabei handelt es sich umeine Remote Console, eine Revi­

sion Control für die Konfigura­tionen, Device Maintenance­Funktionen (mit Upload Firmwa­re, Download Tech Support­File,Restart, etc.) und ähnliches.

Erwähnenswert ist in diesem Zu­sammenhang noch das "QuickMonitor"­Feature, dass sichebenfalls über einen Rechtsklick

aufrufen lässt. Dabei handelt essich um ein vordefiniertes Moni­toring­Dashboard, das Informa­tionen zu Durchsatz, CPU­ undBuffer­Nutzung, der CPU­Tem­peratur, Verbindungen sowie In­terface­Statistiken liefert. Alleüber den Rechtsklick erreichba­ren Funktionen stehen auch überIcons in der Ribbon­Leiste zurVerfügung.

Der "Progress View" zeigt denaktuellen Status, beispielsweisebeim Verteilen von Konfiguratio­nen an. Eine Übersicht über dieaufgelaufenen Fehlermeldungenschließt den Leistungsumfangvon InControl ab.

Die SicherheitAls wir uns durch die Verwal­tungswerkzeuge durchgearbeitet

hatten, machten wir uns daran,die Appliance mit diversenHacking­ und Security­Lösungenin Bezug auf Sicherheitslückenunter die Lupe zu nehmen. Dabeiscannten wir immer die externenund internen Interfaces (die zudiesem Zweck beide mit fixenIP­Adressen versehen wurden).

Konkret kam dabei heraus, dassNmap am internen Interface wiezu erwarten die für unsere Konfi­guration geöffneten Dienste wieHTTP, SSH und ähnliches er­kannte. Außerdem vermutete dasTool, dass es sich bei der App­liance um ein D­Link­Gerät han­dele, gab aber gleich an, dassdiese Aussage nicht zuverlässigsei. Am externen Interface warenalle Ports gefiltert, deswegenkonnte Nmap nicht viele Infor­mationen erlangen. Immerhinstellte der Scanner anhand derMAC­Adresse fest, dass es eineClavister­Lösung war.

Nessus erkannte am internen In­terface ebenfalls die freigegebe­nen Dienste, sogar mit der Versi­on der verwendeten Server, undbemängelte das auf der Applianceinstallierte Zertifikat. Das warnur folgerichtig, da wir dasselbstgenerierte Originalzertifikatvon Clavister auf der Appliancebelassen hatten und stellt somitkein Sicherheitsrisiko dar. Au­ßerdem gab Nessus an, dass essich um eine Clavister­Lösunghandele. Am externen Interfacefand Nessus nichts. Metasploitwar genau wie nmap nach demScan des internen Interfaces derMeinung, es handele sich um ei­ne D­Link­Appliance. Außerdemerkannte die Sicherheitslösungwie zu erwarten die freigegebe­nen Dienste. Am externen Inter­face konnte sie ebenfalls nichtsfinden.

Der "Quick Monitor" im Betrieb

9

Weder an internen noch am ex­ternen Interface konnte eines un­sere Angriffs­Tools die Clavister­Lösung in Verlegenheit bringen.Sie blieb von den Attacken völligunbeeindruckt und überstand denSicherheitstest somit unbescha­det.

HochverfügbarkeitIn nächsten Schritt verwendetenwir InControl, um mit unserenbeiden NGFs einen Cluster auf­zusetzen. Dazu kamen wieder fi­xe IP­Adressen auf den WAN­In­terfaces zum Einsatz.

Zunächst fügten wir unsere bei­den Gateways zu dem InControl­

System hinzu und konfiguriertenden späteren Master­Gateway so,dass er unsere Anforderungen er­füllte. Im Wesentlichen übernah­men wir dazu unsere alte Konfi­guration, wir wiesen parallel da­zu den Interfaces aber noch di­verse IP­Adressen hinzu.

Damit die Cluster­Konfigurationfunktioniert, müssen alle Interfa­ces der Appliances nämlich so­wohl eine Shared IP­Adresse, alsauch eine Private IP­Adresse (beiungenutzten Interfaces kann dasLoopback sein) haben. Sobalddas erledigt war, genügte es, inInControl einen Cluster zu defi­nieren, zwei Interfaces der Gate­

ways als Synchronisierungs­In­terfaces zu verbinden und zuerstden Master und dann den Slavezu dem Cluster hinzuzufügen.

Sobald das geschehen war, fragteInControl nach dem Modus, indem der Cluster betrieben wer­den sollte. Hier stehen drei ver­schiedene Optionen zur Auswahl.Zunächst einmal "Synced". Da­bei wird die gesamte Konfigura­tion von InControl verwaltet underst auf den ersten und nach einerPause auf den zweiten Knotenhochgeladen. In diesem Modusist es nicht mehr möglich, denCluster parallel über das Web­In­terface zu verwalten, es muss

zum Management InControl zumEinsatz kommen. Im Modus"Auto" lädt das Werkzeug dieKonfiguration nur auf den erstenNode hoch und der Cluster über­nimmt den Sync­Vorgang. Diedritte Möglichkeit nennt sichschließlich "manuell". Hier bleibtalles dem Administrator überlas­sen.

Hat man sich für einen Modusentschieden, wir wählten im Testdie zweite Option (da wir weiter­hin parallel das Web­Interfacenutzen wollten), fragt InControl,welche Netzwerkschnittstellenfür die Synchronisierung zumEinsatz kommen. Nachdem wir

diese Frage beantwortet hatten,lud das Tool die Konfigurationauf den ersten Node hoch, dieSynchronisierung fand statt undder Cluster ging in Betrieb.

Im Test traten beim Failover kei­ne Schwierigkeiten auf. LautHersteller nimmt der Failoverübrigens weniger als 800 Milli­sekunden in Anspruch. Clusterlassen sich – wie bereits erwähnt– auch über das Web­Interfaceerzeugen. Dazu steht ein Wizardzur Verfügung, der die erforder­lichen Parameter abfragt.

FazitIm Test hinterließ die ClavisterW30 einen hervorragenden Ein­druck. Die Lösung verfügt überalle Sicherheitsfunktionen, die imUnternehmensumfeld erforder­lich sind. In diesem Zusammen­hang seien exemplarisch nur dieNext­Generation­Firewall, dasIPS, der Web Filter, die Anwen­dungskontrolle sowie die Antivi­rus­ und Anti­Spam­Features ge­nannt. Das zentrale Verwaltungs­tool ist vorbildlich, die Routing­funktionen wurden leistungsstarkgestaltet und mit dem Web­Inter­face und der CLI stehen Admi­nistratoren umfassende Alterna­tivwerkzeuge zum Verwalten derAppliances zur Verfügung, diefalls erforderlich auch parallelzueinander Verwendung finden.

Für Anwendungsbereiche, in de­nen Hochverfügbarkeit benötigtwird, stellt Clavister zudem ein­fach zu bedienende Funktionenbereit, mit denen sich Clusterschnell und einfach implemen­tieren lassen. Wir können die Lö­sungen damit rundherum emp­fehlen.

Dr. Götz Güttich leitet das IAITin Korschenbroich.

Cluster lassen sich im Betrieb genau wie einzelne Gateways verwalten

10