computerwoche.de

Archiv

VPN- und Sicherheits-Management

Ciscos VMS 2.0: vier Verwaltungs-Tools in einem Paket

22.02.2002
FRAMINGHAM (IDG) - Bei der "VPN/ Security Management Solution Version 2.0" (VMS 2.0) handelt es sich um Ciscos jüngsten Vorstoß in Sachen Sicherheits- und VPN-Management. Die Lösung fasst vier Verwaltungs-Tools unter einem Dach zusammen. Ein Test der CW-Schwesterpublikation "Network World" bewertet die einzelnen Produkte gut, kritisiert aber ihre mangelnde Integration.

VMS Version 2.0 besteht aus vier Komponenten: dem "Cisco Secure Policy Manager 3.0" (CSPM 3.0) für das Konfigurieren der Firewall und VPNs, der älteren Version CSPM 2.3 für Intrusion Detection, dem "Ciscoworks 2000 VPN Monitor" für die Überwachung, das Auslösen von Alarmen und das Reporting bei VPNs sowie "Ciscoworks 2000" für alle anderen Management-Funktionen wie Bestandslisten, Registrierung, Verfügbarkeit und Software-Management. CSPM 2.3 unterstützt nun sowohl Netz- als auch Host-basierende Intrusion-Detection-Systeme (IDS).

Die genannten Produkte als Einzelkomponenten der Suite ernten von den Testern ein großes Lob. Besonders im Vergleich zu den Vorgängerversionen habe Cisco mit seinen Firewall- und VPN-Tools deutliche Fortschritte gemacht. CSPM 3.0 zeichnet sich den Angaben zufolge durch eine einfache Handhabung aus. Zunächst definiert der Administrator die Netztopologie in Form einer Grafik und platziert darin die einzelnen Geräte. Für die Festlegung von Regeln - welcher Verkehr erlaubt ist - gibt es auch ein Werkzeug. Anhand dieser Regeln bestimmt CSPM 3.0 die nötigen Konfigurationsänderungen für die Geräte und nimmt sie automatisch vor. Nicht zuletzt hat das Unternehmen den Aufbau komplexer Zugangslisten und NetworkAddress-Translation-(NAT-)Konfigurationen in IOS- und PIX-Systemen vereinfacht - ein von vielen Anwendern lange ersehntes Feature.

Mit seinen neuen Management-Werkzeugen für Virtual Private Networks (VPNs) zieht Cisco mit anderen VPN-Anbietern wie Avaya, Netcsreen oder Nokia gleich. Das Produkt definiert VPNs, indem es Knoten zu Gruppen von VPN-Verbindungen (Tunneln) hinzufügt. Es gibt aber einen Haken: Es kann Schwierigkeiten bereiten, beliebige Daten zwischen beliebigen VPN-Knoten zu übertragen, da sich CSPM 3.0 eher auf die Firewall-Funktion konzentriert und VPNs als zusätzliche Option anbietet, anstatt beides gleich zu gewichten. Einige Puzzlestücke im VPN-Management fehlen noch, wie zum Beispiel Hilfen für den Umgang mit digitalen Zertifikaten.

Hauptkritikpunkt bleibt aber die unzureichende Integration der Werkzeuge. So werden Netz- und Host-basierende IDS von der Version CSPM 2.3 verwaltet, die auf einem anderen Server laufen muss als CSPM 3.0. Diese Trennung zwischen VPN/Firewall-Management und IDS verursacht Probleme, wenn Netz-Manager von IDS-Alarmen ausgelöste Konfigurationsänderungen in Firewalls und Routern ("Shunning") implementieren wollen. Shunning benutzt verschiedene Tools zur Konfigurierung. Wer nur CSPM 3.0 für Fehlersuche und Analyse verwendet, wird nie einen vollständigen Überblick gewinnen. Nicht zuletzt unterhalten CSPM 2.3, CSPM 3.0 und Ciscoworks 2000 unterschiedliche Gerätebestandslisten. Änderungen in einem der Systeme ziehen in manchen Fällen manuelle Anpassungen in anderen Systemen nach sich. (sra)

Pro und Kontra+ hohe Leistungsfähigkeit der einzelnen Tools,

+ CSPM 3.0 ist einfach zu handhaben,

+ Aufbau komplexer Zugangslisten leichter,

+ NAT-Konfigurationen besser administrierbar.

- Integration könnte besser sein,

- VPN-Funktionalität nicht gleichrangig mit Firewalling angelegt,

- Trennung der Firewall/VPN-Management-Funktionen von Intrusion Detection,

- CSPM 2.3, CSPM 3.0 und Ciscoworks 2000 unterhalten jeweils eigene Bestandslisten.