Mit wenigen Mausklicks zum sicheren Netz

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Nomen est omen: Als "Limes" sollen die Firewall-Appliances des österreichischen Herstellers Underground_8 elektronische Schädlinge abhalten. Wir haben uns das Einstiegsmodell "MF100" näher angeschaut.

Underground_8-Geschäftsführer und CEO Günther Wiesauer hatte bei einem Redaktionsbesuch unsere Neugierde geweckt. Zu interessant klang, was er da am Konferenztisch versprach: Mit nur wenigen Mausklicks soll der Anwender mit einer Limes sein Netz absichern können. Und dabei soll die Firewall des Linzer Unternehmens ein wahrer Tausendsassa sein. Neben den üblichen Sicherheits-Features wie Statefulpacket Inspection, Adress-Filter und VPN-Unterstützung, die heute selbst bei Einstiegs-Routern mehr oder weniger gelungen implementiert sind, sollen die Appliances unter anderem mit Schutz auf Anwendungsebene, integriertem Virenscanner, Spam-Schutz, Intrusion-Detection sowie ausgeklügelten Protokoll- und Statistikfunktionen zur Auswertung von Angriffsversuchen aufwarten. Und dies soll selbst für Kleinstbetriebe bezahlbar und ohne IT-Know-how sicher zu betreiben sein? Hinter Letzerem verbirgt sich eine ebenso einfache wie geniale Idee: Der Anwender muss in Zeiten knapper IT-Budgets die Appliances nicht unbedingt kaufen, sondern kann sie leasen. Und dank Fernwartungsoption - die Limes ist als Managed Firewall konzipiert - kann die Administration ein Systemhaus übernehmen oder in Corporate Networks die zentrale IT-Abteilung die Geräte in den Zweigstellen pflegen.

Security made in Austria

Und das Ganze ohne das flaue Gefühl in der Magengegend, das sich so oft bei Security-Produkten US-amerikanischer oder asiatisch/chinesischer Provienz einstellt, weil die Angst vor einer versteckten Hintertür doch ein wenig die Kaufentscheidung vergällt? Entsprechend gespannt warteten wir auf das Eintreffen des Testgeräts. Es ist das kleinste Modell "Limes MF100" der Reihe.

Features der Limes MF100

  • Mail-Filter-Engine: Schutz vor Spam, Phishing und Pharming;

  • Anti-Threat-Filter: Schutz vor Viren, Würmern, Trojanern und Spyware;

  • unlimitierte VPN-Verbindungen;

  • Stateful-Inspection-Filter;

  • Port-basiertes Bandbreiten-Management;

  • integrierte Anwendungs-Proxy für HTTP, HTTPS, FTP-over-HTTP, SMTP, POP3;

  • Intrusion Detection and Prevention;

  • Up-2-Date-Service für permanente, vollautomatische Updates;

  • Carepack: Vor-Ort-Austauschservice in 24 Stunden.

Groß war dann die Enttäuschung, als nach dem Öffnen des Pakets die beiliegende CD im PC-Laufwerk verschwand und den Tester als PDF-Dokument ein 357-seitiges Handbuch erwartete. Also nichts mit "in wenigen Mausklicks zum sicheren Netz"? Doch halt. Befand sich in dem Paket nicht noch ein zweiseitiger Folder, der ein Quick-Setup versprach? Richtig. Also begannen wir unsere Bekanntschaft mit der MF100 anhand dieses Leitfadens.

Technische Daten MF100

  • Anschlüsse: vier 10/100 Mbit/s Ports,

  • Firewall-Durchsatz: 160 Mbit/s,

  • gleichzeitige Sessions: 84 000,

  • neue Session pro Sekunde: 2500,

  • Durchsatz VPN/3DES: 40 Mbit/s,

  • IDS-Duchsatz: 62 Mbit/s,

  • Site-to-Site-Tunnel: 50,

  • Client-to-Site-Tunnel: 50,

  • Antivirus-Durchsatz: 20 Mbit/s,

  • E-Mail-Durchsatz pro Tag: 360 000,

  • empfohlene Power-User: 10,

  • Preis: 690 Euro

Der physikalische Anschluss der im grellen Orange gehaltenen Box gestaltet sich unproblematisch. Auf der Rückseite findet der Benutzer Interfaces für das WAN, das interne Ethernet-LAN, ein WLAN, das ebenfalls in die Sicherheits-Policy einbezogen werden kann, sowie eine Schnittstelle zum Aufbau einer DMZ. Hält sich der User an die fünf Schritte der Quicksetup-Anleitung, dann ist die Security Appliance in der Tat mit wenigen Mausklicks eingerichtet.

Nach dem Reboot ist die Appliance damit, wie von CEO Wiesauer versprochen, wirklich einsatzbereit. Schutzmechanismen wie Virenfilter, Anti-Spam, Intrusion-Detection sowie Web- und E-Mail-Filter sind aktiviert. Nach der ersten Inbetriebnahme empfiehlt sich in der übersichtlich gehaltenen Web-Administrationsoberfläche ein Ausflug in das Menü Software-Status. Hier erhält der Systembetreuer Informationen über eventuelle Updates, die er mit nur einem Mausklick installieren kann. Auf diese Weise brachten wir unsere Appliance auf den Release-Stand 1.73.7. Augenfälligste Änderung gegen-über dem Auslieferungszustand war nach dem Update die hinzugekommene Unterstützung von SSL-basierenden VPNs.

Einfache Grundinstallation

Damit ist die Firewall im Prinzip für den Alltagseinsatz bereit. So fanden die im Internet frei verfügbaren Portscanner keine verdächtigen freien Ports oder scheiterten teilweise komplett an der MF100. Zu einem tiefer gehenden Stresstest in Sachen Security fehlte im Redaktionsalltag leider die Zeit. Interessierte können auf der Homepage des Herstellers (http://www.underground8.com/de/content/limes_testen_formular.php) kostenlos ein Testexemplar für eigene Versuche anfordern.

Wer allerdings das Potenzial der Appliance voll ausreizen will und etwa neben dem standardmäßig aktivierten Clam-AV noch Kaspersky Antivirus nutzen will, Wert auf ein ausgeklügeltes Antispam-Verfahren legt oder nur eine SMS-Benachrichtigung über den Appliance-Status auf das Handy wünscht, kommt nicht umhin, sich mit dem 357-Seiten-Handbuch zu beschäftigen. Die Arbeit damit hinterlässt einen zwiespältigen Eindruck.

Hat man sich schlau gelesen, lassen sich zahlreiche Parameter wie etwa die Spam-Erkennung feintunen. Gerade in Sachen Antispam wartet die Limes mit so manchem Schmankerl auf. So kann der User verschiedene Blacklists auswählen sowie Mails zur Verbesserung der Spam-Erkennung an Underground_8 weiterleiten, damit der Filter dazulernt. Zudem arbeitet die Spam-Engine mit einem Punkteverfahren, das für gewisse Auffälligkeiten (etwa die Anrede Dear Sir/Madame) Punkte vergibt. Aus diesen wird dann ein Score berechnet. Ab welchem Score-Wert eine Mail - unabhängig von der Blacklist - aufgrund ihres Inhalts als Spam eingestuft wird, kann der User selbst festlegen.

Vor- und Nachteile

(+) Mit wenigen Mausklicks einsatzbereit,

(+) ausgeklügeltes Anti-Spam-System,

(+) unterstützt sowohl IPsec- als auch SSL-VPNs,

(+) für den Endbenutzer transparent,

(+) sehr ausführliche Logfiles.

(-) Teils träge Administrationsoberfläche,

(-) keine Anzeige, ob Appliance noch an internen Prozessen arbeitet (etwa bei Update oder Reboot),

(-) sehr umfangreiches Handbuch mit stellenweisen Schwächen.

Die Limes im Alltag

Wenig Freude dürften dagegen die Content- und werbetreibende Industrie an den Content-Filtern der Firewall haben. Sie blocken nicht nur den Zugriff auf gewaltverherrlichende Seiten, Phishing, WareZ, Drogen etc., sondern auch die Werbung. Und dies so effektiv, dass es mit der MF100 wieder Spaß machte, Web-Seiten zu besuchen, die zuvor wegen überzogener Werbung gemieden wurden. Features wie Skype- oder P2P-Filter runden den Funktionsumfang ab. Schön ist dabei, dass die Limes sowohl beim Content-Filtern als auch beim Virenschutz auf Anwendungsebene (HTTP, POP3, SMTP oder FTP) als transparenter Proxy arbeitet, also keine Änderungen an den Clients im Netz erforderlich sind, was viel Arbeit erspart.

Im Alltag verhält sich die Limes für den normalen Anwender so, wie es sein sollte: Sie ist für ihn, solange er sich regelkonform verhält, nicht bemerkbar. Erst wenn er etwa einen verbotenen Ausflug in die Rotlichtbezirke des Internets unternehmen will, zeigt ihm ein deutliches "Access Denied", dass er nicht ohne Kontrolle surft und gerade gegen die Sicherheitsrichtlinien des Unternehmens verstößt. Selbst Performance-Fetischisten werden von der Limes - falls nicht das interne Traffic-Shaping regulierend eingreift - nichts bemerken. Am 16-Mbit/s-DSL-Anschluss unseres Testnetzes wartete die MF 100 sogar im Schnitt mit einer um knapp 1 Mbit/s höheren Durchsatzrate auf als der sonst genutzte Linksys-Router RV042. Etwas anders sehen dagegen die Erfahrungen aus Sicht des Administrators aus. Auf der einen Seite begeistern die zahlreichen Konfigurationsparameter, die eine Anpassung an die individuellen Einsatzbedürfnisse erlauben, sowie die vielfältigen Analyse- und Log-Möglichkeiten. Bevor letztere Optionen genutzt werden, sollten bundesdeutsche Netzverantwortliche allerdings unbedingt die jeweiligen Personalvertretungen mit ins Boot holen. Zu groß ist sonst die Gefahr, aufgrund der umfangreichen Log- und Analysefunktionen (so lässt sich beispielsweise genau protokollieren, wer welche Web-Seite wann besucht hat) gegen Mitbestimmungsrechte oder Datenschutzbestimmungen zu verstoßen und so mit dem Gesetz in Konflikt zu geraten.

Fazit

Unter dem Strich hat es Underground_8 tatsächlich geschafft, eine umfassende Security-Appliance mit gehärtetem Linux auf den Markt zu bringen, die mit wenigen Mausklicks in Betrieb zu nehmen ist. Trotz dieser einfachen Inbetriebnahme kommt auch der Systembetreuer nicht zu kurz, der für sein Netz ausgefeilte Security-Richtlinien durchsetzen will. Dabei überraschte das Gerät im Test immer wieder mit pfiffigen Detaillösungen und seinen Analysefunktionen.