Firewalls sind leider keine Option - sie sind Pflicht. Kein Unternehmensnetzwerk kann ohne Firewall mit dem Internet oder dem Netzwerk eines Partner- oder Kundennetzwerk verbunden werden ohne ein riesiges Sicherheitsrisiko einzugehen. Innerhalb des Netzwerks greift der IT-Professional oder Administrator zu den Personal-Firewalls und konfiguriert diese zentral über eine Management-Suite oder Gruppenrichtlinie. Auch ohne den Griff ins Portemonnaie steht für die zentrale Anbindung von Netzwerken Astaros kostenfreie "Astaro Security Gateway Essential Firewall Edition" für Unternehmen zur Auswahl. Da Astaro die Essential-Variante des "Security Gateway V8" auch als virtuelle Appliance im VMware-Format für Workstation, ESX und Player anbietet, ist die Einrichtung und Inbetriebnahme in kürzester Zeit abgeschlossen.
Astaro, bekannter Hersteller von Security-Software, bietet seit einiger Zeit zwei kostenfreie Varianten seines Astaro Security Gateways an. Die "Free Home Use Edition" ist eine voll funktionsfähige Version der Software, die Privatanwender kostenlos und unverbindlich nutzen können. Alle Funktionen der Software stehen hier für bis zu 50 lokale IP-Adressen zur Verfügung.
Die zweite Variante, die "Essential Firewall Edition", ist für den Unternehmenseinsatz gedacht und ist sowohl in Bezug auf die Laufzeit und die Anzahl der IP-Adressen unlimitiert. Die Software bietet für den Netzwerkbetrieb statisches Routing, Bridging, einen DNS-Server und Proxy-Dienst, dynamisches DNS (DynDNS), DHCP als Server und Relay, Unterstützung für NTP und Quality of Service. Für die Netzwerksicherheit bietet die Software eine klassische Stateful Packet Inspection Firewall mit Network Address Translation gemäß DNAT, SNAT und Masquerading.
Installation in schnellen Schritten
Die Installation beginnt mit der Anforderung der virtuellen Maschine auf der Homepage des Herstellers. Nach der Eingabe einiger Kontaktinformationen erhält der neue Benutzer eine Bestätigungs-E-Mail mit der exakten Download-Adresse und einer Lizenz-Datei. In unserem Test maß die Download-Datei asg-8.001-vmware.zip knapp 900 MByte. Nach dem Download folgen die Extraktion des ZIP-Archivs und die Einbindung in eine der Lösungen von VMware. Sowohl der Betrieb unter VMware Server 2.0 und in einer aktuellen Version der VMware Workstation verlief im Test problemlos.
Die Systemanforderungen sind insgesamt moderat. Neben zwei Netzwerkkarten ist eine CPU mit 1.5 GHz Taktfrequenz, 1 GByte Arbeitsspeicher und 20 GByte Festplattenkapazität erforderlich. Obwohl Astaro in der Produktdokumentation 20 GByte Festplattenspeicher angibt, wurde der virtuellen SCSI-Festplatte 30 GByte unter VMware zugestanden. Im ZIP-Archiv findet sich die Kurzdokumentation in Form eines PDF-Dokuments mit 18 Seiten. Die Anleitung beschränkt sich jedoch auf die Einbindung der virtuellen Maschine. Eine vollständige Anleitung, ebenfalls als PDF-Datei, mit 478 Seiten Umfang in den Sprachen Deutsch und Englisch lässt sich aus der Weboberfläche herunterladen.
Grundkonfiguration
Alle Konfigurationsschritte der Astaro Security Gateway Essential Firewall werden über eine Weboberfläche vorgenommen. Um den Erstkontakt herzustellen ist zunächst ein Computer mit einer passenden IP-Adresse durch den Benutzer auszustatten. Die genaue Anleitung für diesen Schritt ist in der PDF-Anleitung zu finden. Ein Setup Wizard empfängt den neuen Benutzer und sammelt alle wichtigen Stamminformationen wie IP-Adresse, Netzwerkumgebung oder Host-Namen. Einige Sekunden benötigt der Wizard um diese Informationen umzusetzen und im nächsten Schritt werden Netzwerksicherheitsregeln festgelegt. Leider unterscheidet der Assistent nicht zwischen den unterschiedlichen Versionen, die Astaro anbietet. Die freie Version verfügt in erster Linie über den Paketfilter. Definitionen, die für andere Programmbereiche festgelegt werden, beispielsweise für URL-Filterung in verschiedenen Kategorien, bleiben unberücksichtigt, ehe eine kostenpflichtige Lizenz eingespielt ist.
Weboberfläche
Nach Abschluss der Grundkonfiguration erfolgt die erste "echte" Anmeldung an die Weboberfläche. Design und Funktionalität der Oberfläche sind auf dem Stand der Zeit. Im "Dashboard" werden alle wichtigen Informationen aktuell zusammengefasst. Die Ressourcennutzung der Maschine, der Status der Netzwerkinterfaces und die Anzahl gefilterter Pakete und URLs, sowie geblockte Pakete. Innerhalb weniger Minuten findet sich der Benutzer in der Oberfläche zurecht. Auf Wunsch kann diese unter "Management" auf deutsche Dialoge umgestellt werden. Administrative Belange wie die Erstellung des Zertifikats für die "Webadmin"-Oberfläche, das Einrichten regelmäßiger Backups oder die Aktivierung der SNMP-Kommunikation sind selbsterklärend. Sofern mehrere Astaro-Systeme im Unternehmensnetzwerk im Einsatz sind, empfiehlt sich die Verwendung der freien "Astaro Command Center" ACC-Software.
Eigene Regelwerke
Das Herzstück der freien Astaro Security Gateway Essential Firewall ist der Paketfilter. Im Menü "Network Security" legt der Benutzer die grundlegende Arbeitsweise der Firewall fest. Bereits in der Standardkonfiguration ist die VM so eingerichtet, dass Client-Computer über die Firewall als Gateway ganz normal Verbindungen mit dem Internet oder anderen Netzwerkbereichen aufnehmen können. Je nach gewählten Einstellungen im Einrichtungs-Assistenten sind die ersten Regeln bereits konfiguriert. Dank der Kommentarfunktion ist es für den Benutzer leicht festzustellen, welche Parameter durch den Assistenten eingetragen wurden. Diese Kommentarfelder sind mit "Added by installation wizard" gefüllt.
Wer schon im Vorfeld Kontakt zu Firewalls und der Definition von Regeln hatte, wird sich bei Astaro sehr leicht zu Recht finden. Die Schaltfläche "Neue Paketfilterregel…" anklicken, die Position der Regel für die Ablaufreihenfolge und Quelle und Ziel definieren. Anstatt die Port-Adresse manuell einzugeben, hat der Benutzer hier die Möglichkeit per Drag And Drop aus bereits definierten Diensten auszuwählen - das erleichtert die Anlage deutlich. Typischerweise steht nach einer Regeländerung die Kontrolle der Anpassung an. Das "Live Protokoll" offenbart einen Blick auf den derzeitigen Netzwerkverkehr. Die Option "Verkehr protokollieren" isoliert einzelne Paketfilter-Regeln im Protokoll, was die Einstellung ebenfalls vereinfacht. Paketfilter-Regeln können bei Astaro mit Zeitfenstern versehen werden - somit sind Regeln möglich, die je nach Uhrzeit unterschiedlich greifen.
Fazit
Erwartungsgemäß arbeitet die Firewall im Test zuverlässig und lässt sich durch keine der über das Internet frei herunterladbaren Tools aus dem Tritt bringen. Das Einzige was die unterschiedlichen Port-Scanner ans Licht brachten war die MAC-Adresse der virtuellen, externen NIC. Mit der kostenfreien VM-Appliance hat Astaro eine insgesamt interessante und ausgereifte Firewall im Portfolio. Kleinere Unternehmen haben so die Chance, auch ohne den Einsatz größerer Geldsummen eine moderne Firewall an der Außenpforte ihres Netzwerks zu positionieren. (wh)