Underground_8-Geschäftsführer und CEO Günther Wiesauer hatte bei einem Redaktionsbesuch unsere Neugierde geweckt. Zu toll klang doch, was er da am Konferenztisch versprach: Mit nur wenigen Mausklicks soll der Anwender mit einer Limes sein Netz absichern können. Und dabei soll die Firewall des Linzer Unternehmens ein wahrer Tausendsassa sein. Neben den üblichen Sicherheits-Features wie Statefulpacket Inspection, Adress-Filter und VPN-Unterstützung, die heute selbst bei Einstiegs-Routern mehr oder weniger gelungen implementiert sind, sollen die Appliances unter anderem mit Schutz auf Anwendungsebene, integriertem Virenscanner, Spam-Schutz, Intrusion-Detection sowie ausgeklügelten Protokoll- und Statistikfunktionen zur Auswertung von Angriffsversuchen aufwarten. Und dies soll selbst für Kleinstbetriebe bezahlbar und ohne IT-Know-how sicher zu betreiben sein? Hinter Letzerem verbirgt sich eine ebenso einfache wie geniale Idee: Der Anwender muss in Zeiten knapper IT-Budgets die Appliances nicht unbedingt kaufen, sondern kann sie leasen. Und dank Fernwartungsoption - die Limes ist als Managed Firewall konzipiert - kann die Administration ein Systemhaus übernehmen oder in Corporate Networks die zentrale IT-Abteilung die Geräte in den Zweigstellen pflegen.

Und das Ganze ohne das flaue Gefühl in der Magengegend, das sich so oft bei Security-Produkten US-amerikanischer oder asiatisch/chinesischer Provienz einstellt, weil die Angst vor einer versteckten Hintertür doch ein wenig die Kaufentscheidung vergällt? Entsprechend gespannt warteten wir auf das Eintreffen des Testgeräts. Es ist das kleinste Modell "Limes MF100" der Reihe.

Groß war denn die Enttäuschung, als nach dem Öffnen des Pakets die beiliegende CD im PC-Laufwerk verschwand und den Tester als PDF-Dokument ein 357-seitiges Handbuch erwartete. Also nichts mit "in wenigen Mausklicks zum sicheren Netz"? Doch halt. Befand sich in dem Paket nicht noch ein zweiseitiger Folder, der ein Quicksetup versprach? Richtig. Also begannen wir unsere Bekanntschaft mit der MF100 anhand dieses Leitfadens.

Erste Erfahrungen

Der physikalische Anschluss der im grellen Orange gehaltenen Box gestaltet sich unproblematisch. Auf der Rückseite findet der Benutzer Interfaces für das WAN, das interne Ethernet-LAN, ein WLAN, das ebenfalls in die Sicherheits-Policy einbezogen werden kann, sowie eine Schnittstelle zum Aufbau einer DMZ. Hält sich der User an die fünf Schritte der Quicksetup-Anleitung, dann ist die Security Appliance in der Tat mit wenigen Mausklicks eingerichtet. Allerdings sollte der Benutzer genau lesen können, denn beim Einrichten der Netzwerk-Interfaces (Zuweisung der IP-Adressen, Funktion der Box als Bridge oder Router) wartet ein kleiner, aber fieser Fallstrick. Nach der Änderung dieser Parameter müssen diese nicht nur gespeichert, sondern auf der dann erscheinenden Übersichtsseite nochmals mit "Save" bestätigt werden. Vergisst der Anwender diesen Schritt und rebootet vorschnell, wartet er auf eine Übernahme der Änderungen bis zum Sankt-Nimmerleins-Tag.

Nach dem Reboot ist die Appliance damit, wie von CEO Wiesauer versprochen, wirklich einsatzbereit. Schutzmechanismen wie Virenfilter, Anti-Spam, Intrusion-Detection sowie Web- und E-Mail-Filter sind aktiviert. Nach der ersten Inbetriebnahme empfiehlt sich in der übersichtlich gehaltenen Web-Administrationsoberfläche ein Ausflug in das Menü Software-Status. Hier erhält der Systembetreuer nämlich Informationen über eventuelle Updates, die er mit nur einem Mausklick installieren kann. Auf diese Weise brachten wir unsere Appliance auf den Release-Stand 1.73.7. Augenfälligste Änderung gegenüber dem Auslieferungszustand war nach dem Update die hinzugekommene Unterstützung von SSL-basierenden VPNs.

Problemfall Handbuch

Damit ist die Firewall im Prinzip für den Alltagseinsatz bereit. So fanden die im Internet frei verfügbaren Portscanner keine verdächtigen freien Ports oder scheiterten teilweise komplett an der MF100. Zu einem tiefer gehenden Stresstest in Sachen Security fehlte im Redaktionsalltag leider die Zeit. Interessierte können auf der Homepage des Herstellers (http://www.underground8.com/de/content/limes_testen_formular.php) kostenlos ein Testexemplar für eigene Versuche anfordern.

Wer allerdings das Potenzial der Appliance voll ausreizen will und etwa neben dem standardmäßig aktivierten Clam-AV noch Kaspersky Anitvirus nutzen will, Wert auf ein ausgeklügeltes Antispam-Verfahren legt oder nur eine SMS-Benachrichtigung über den Appliance-Status auf das Handy wünscht, kommt nicht umhin, sich mit dem 357-Seiten-Handbuch zu beschäftigen. Die Arbeit damit hinterlässt einen zwiespältigen Eindruck. So glänzt die Dokumentation an vielen Stellen mit guten Erklärungen, die auch weniger fachkundigen Benutzern verdeutlichen, was Änderungen der entsprechenden Parameter bewirken. An anderer Stelle vermisst der User dagegen weiterführende Erläuterungen. Um nur zwei Beispiele zu nennen: Warum ist es technisch erforderlich, dass das Handy vor Aktivierung der SMS-Benachrichtigung per USB-Kabel zur Identifizierung an die Limes angeschlossen wird? Zumal dann nur drei Handy-Modelle zur Wahl stehen. Oder im Falle der Spam-Erkennung fehlt eine Erklärung, was die Option OCR-Scan von E-Mails bewirkt. Im Handbuch ist lediglich wörtlich zu lesen: "Die Aktivierung der OCR Scan Engine, zum Scannen von Bildern im E-Mail Anhang, resultiert in einer höheren CPU-Auslastung." Einen Hinweis darauf, ob damit etwa Mails mit Nacktfotos von den ach so zahlreichen, einsamen Internet-Girls geblockt werden, sucht der Benutzer leider vergeblich. Im Eigenversuch ließ die Firewall zumindest eine selbstgebaute Mail der einsamen, im Anhang leichtbekleidet abgebildeten Susi anstandslos passieren.

Last, but not least sollte sich der Hersteller überlegen, ob es nicht sinnvoller wäre, das Handbuch in mehrere Exemplare aufzuteilen. Eventuell wäre es für den Benutzer auch hilfreich, die zahlreichen Konfigurationsparameter einzelner Funktionsgruppen (VPN, WLAN, DMZ) anhand von praktischen Beispielen (Anbindung Teleworker, Anbindung mobiler Mitarbeiter; freier Internet-Zugang für die Geschäftsleitung, aber beschränkter Zugriff für Sachbearbeiter) zu veranschaulichen. Zur Ehrenrettung des PDF-Handbuchs ist anzumerken, dass es auch in seiner jetzigen Form zum Ziel führt, der Benutzer muss sich jedoch Zeit nehmen. Allerdings sollte eine Firewall-Konfiguration als zentraler Schutzwall eines Netzes sowieso nicht zwischen Tür und Angel geschehen - auch wenn dies im Stress des IT-Alltags gerne vergessen wird.

Kein Herz für Spam

Mit Hilfe des Handbuchs lassen sich zahlreiche Parameter wie etwa die Spam-Erkennung feintunen. Gerade in Sachen Antispam wartet die Limes mit so manchem Schmankerl auf. Neben der bereits erwähnten Option des OCR-Scannings kann der User verschiedene Blacklists auswählen sowie Mails zur Verbesserung der Spam-Erkennung an Underground_8 weiterleiten, damit der Filter dazulernt. Zudem arbeitet die Spam-Engine mit einem Punkteverfahren, das für gewisse Auffälligkeiten (etwa die Anrede Dear Sir/Madame) Punkte vergibt. Aus diesen wird dann ein Score berechnet. Ab welchem Score-Wert eine Mail - unabhängig von der Blacklist - aufgrund ihres Inhalts als Spam eingestuft wird, kann der User selbst festlegen.

Wenig Freude dürften dagegen die Content- und werbetreibende Industrie an den Content-Filtern der Firewall haben. Sie blocken nicht nur den Zugriff auf gewaltverherrlichende Seiten, Phishing, Warez, Drogen etc., sondern auch die Werbung. Und dies so effektiv, dass es mit der MF100 wieder Spaß machte, Web-Seiten zu besuchen, die zuvor wegen ihres Werbeterrors gemieden wurden. Features wie Skype- oder P2P-Filter runden den Funktionsumfang ab. Schön ist dabei, dass die Limes sowohl beim Content-Filtern als auch beim Virenschutz auf Anwendungsebene (HTTP, POP3, SMTP oder FTP) als transparenter Proxy arbeitet, also keine Änderungen an den Clients im Netz erforderlich sind, was viel Arbeit erspart. Lediglich wenn mit Access Control Lists für den Netzzugang gearbeitet werden soll, dann muss in der Firewall der Port 80 gesperrt und auf den Client-Rechnern die Limes als Proxy-Server definiert werden. Auf diese Weise kann etwa erzwungen werden, dass sich die Anwender für einen Web-Zugriff authentifizieren müssen. Eine andere Option ist der Aufbau einer dreistufigen Policy für den Web-Zugriff, wobei als Berechtigungskriterien die Punkte Client (IP-Adresse), Website (also die URL) sowie die Uhrzeit dienen. Da die drei Stufen aufeinander aufbauen, könnte etwa bestimmten Rechnern unbeschränkter Web-Zugang gewährt werden, während andere nur die Web-Seiten von Kunden besuchen dürfen und der freie Internet-Zugang nur während der Mittagspause erlaubt ist.

VPNs einfach einrichten

Mit ähnlichen Finessen im Detail warten auch die VPN-Funktionen der MF100 auf. Dazu zählt etwa die Möglichkeit, neben den üblichen IPsec-basierenden VPNs auch SSL-VPNs zu nutzen. Vor allem Unternehmen, die mit entsprechenden Web-Anwendungen arbeiten und auf ihren mobilen Rechnern keine VPN-Client-Software installieren wollen oder die Anschaffungskosten für die Client-Software scheuen, dürften dieses Feature schätzen. Wobei allerdings die Kosten für VPN-Clients bei der Limes kein Hinderungsgrund für den Einsatz IPsec-basierender VPNs sein sollten. Die Österreicher haben sich hier nämlich einen besonderen Trick einfallen lassen: Für Apple- und Windows-Rechner bringt die Limes den Open-Source-Client "OpenVPN" mit. Er ist direkt auf der Appliance hinterlegt und kann von dort auf die entsprechenden Rechner heruntergeladen werden. Zudem gibt die Limes bei der Anlegung eines VPN-Users gleich die entsprechenden OpenVPN-Konfigurationsdateien sowie das erforderliche Zertifikat aus. Diese können entweder von der Limes selbst generiert oder über eine Zertifizierungsstelle bezogen werden. Nach der Installation von OpenVPN auf dem Client müssen nur noch die Konfigurationsdatei und das Zertifikat in den entsprechenden config-Unterordner kopiert werden. Hier kann man vor der Underground_8-Mannschaft nur den Hut ziehen: Nur selten findet man ein Produkt, mit dem sich so schnell und einfach funktionierende IPsec-VPNs einrichten lassen.

Mit Bedacht sind dagegen die WLAN-Features der Limes zu benutzen, da der Hersteller nicht ausschließt, dass sie in späteren Firmware-Versionen wieder entfernt werden. Bei Underground_8 begründet man dies damit, dass moderne Access Points Features wie etwa eine Zugangssteuerung in der Regel bereits selbst an Bord haben sollten. Dies ist sicher richtig, dennoch ist es komfortabel, das WLAN gleich über die Appliance mit zu administrieren. Zumal sich zahlreiche Security-Regeln auch für WLANs aktivieren lassen oder den WLAN-Clients nur über eine VPN-Verbindung durch die Limes der Zugriff auf das interne Netz gewährt werden kann.

Die Limes im Alltag

Im Alltag verhält sich die Limes für den normalen Anwender so, wie es sein sollte: Sie ist für ihn, solange er sich regelkonform verhält, nicht bemerkbar. Erst wenn er etwa einen verbotenen Ausflug in die Rotlichtbezirke des Internets unternehmen will, zeigt ihm ein deutliches "Access Denied", dass er nicht ohne Kontrolle surft und gerade gegen die Sicherheitsrichtlinien des Unternehmens verstößt. Selbst Performance-Fetischisten werden von der Limes - falls nicht das interne Traffic-Shaping regulierend eingreift - nichts bemerken. Am 16-Mbit/s-DSL-Anschluss unseres Testnetzes wartete die MF 100 sogar im Schnitt mit einer um knapp 1 Mbit/s höheren Durchsatzrate auf als der sonst genutzte Linksys-Router RV042. Etwas anders sehen dagegen die Erfahrungen aus Sicht des Administrators aus. Auf der einen Seite begeistern die zahlreichen Konfigurationsparameter, die eine Anpassung an die individuellen Einsatzbedürfnisse erlauben, sowie die vielfältigen Analyse- und Log-Möglichkeiten. Bevor letztere Optionen genutzt werden, sollten bundesdeutsche Netzverantwortliche allerdings unbedingt die jeweiligen Personalvertretungen mit ins Boot holen. Zu groß ist sonst die Gefahr, aufgrund der umfangreichen Log- und Analysefunktionen (so lässt sich beispielsweise genau protokollieren, wer welche Web-Seite wann besucht hat) gegen Mitbestimmungsrechte oder Datenschutzbestimmungen zu verstoßen und so mit dem Gesetz in Konflikt zu geraten.

Dieses positive Bild trüben aber einige Schönheitsfehler, die nicht nur das bereits kritisierte Handbuch betreffen. So gestaltete sich die Arbeit mit der Administrationsoberfläche stellenweise doch sehr träge. Ob dies an der eher geringen Rechenpower der MF100, dem kleinsten Modell der Familie, liegt und an den von uns voll aktivierten Sicherheits-Features (etwa beide Virenscanner), muss eine Vermutung bleiben, da uns die Vergleichsmöglichkeit mit den leistungsstärkeren Modellen fehlte. Ebenso ärgerlich war, dass die MF100 bei der Abarbeitung interner Prozesse (Reboot, Software-Update) keine Rückmeldung darüber gibt, ob sie mit der Aufgabe noch befasst ist oder diese schon beendet hat. Hier wäre eine kleine Busy-LED an der Gehäusefront sehr hilfreich.

Fazit

Unter dem Strich hat es Underground_8 tatsächlich geschafft, eine umfassende Security-Appliance mit gehärtetem Linux auf den Markt zu bringen, die mit wenigen Mausklicks in Betrieb zu nehmen ist. Trotz dieser einfachen Inbetriebnahme kommt auch der Systembetreuer nicht zu kurz, der für sein Netz ausgefeilte Security-Richtlinien durchsetzen will. Dabei überraschte das Gerät im Test immer wieder mit pfiffigen Detaillösungen wie etwa bei der VPN-Installation. Und mit der Option des Leasings zeigen die Österreicher, dass selbst umfassende Security-Lösungen kein unbezahlbarer Luxus sein müssen.