Im Kern handelt es sich bei UTMs meist um Sicherheits-Appliances die mehrere unterschiedliche Sicherheitsfunktionen in einer Einheit bündeln. Diese Systeme werden traditionell meist als Unified-Threat-Management-Systeme bezeichnet.
Durch die Kombination der einzelnen Sicherheitsfunktionen wird die Einrichtung und Verwaltung eines umfassenden Sicherheitssystems einfacher. Dies gilt aus zweierlei Gründen. Zum einen werden alle benötigten Sicherheitssysteme in eine Verwaltungsoberfläche gepackt. Die gesamte Administration wird somit unter einer Haube zusammengefasst und ist meist ähnlich aufgebaut. Damit entfällt die Nutzung unterschiedlicher Tools mit unterschiedlichen Bedienabläufen. Der zweite wesentliche Grund der für UTMs spricht ist die Interaktion der Module untereinander.
So können beispielsweise die einzelnen Sicherheitsmodule sich gegenseitig beeinflussen und somit das gesamte Abwehrsystem sicherer machen, als dies bei getrennten Einzelprodukten der Fall wäre. Dies gilt auch für die UTMs des Unternehmens Stormshield. Der Hersteller hat seine Sicherheitssysteme in drei Produktlinien zusammengefasst. Dies ist der hier betrachtet Netzwerkschutzes und außerdem Systeme für den Datenschutz (Encrypten) und der Schutz der Endgeräte (Endpoint-Schutz).
Zentraler Baustein der UTMs ist fast immer eine Firewall. Dazu kommen Intrusion Detection und Prevention Systeme, sowie Scanner für Viren, Spyware, Adware oder sonstiger Malware. Am Beispiel der Stormshield SN3000 wollen wir das verdeutlichen.
Die Sicherheitsfunktionen im Überblick
Wie erwähnt fasst Stormshield in seinen Produkten mehrere Sicherheitsfunktionen in einer Einheit zusammen. Dies ist unter anderem:
IPS: das Intrusion Prevention System von Stormshield operiert nicht, wie oftmals üblich, anhand von Signaturen. Damit erreicht der Hersteller einen höheren Durchsatz
Antispam: Die Antispam-Funktion erfolgt zusammen mit Partnern.
Antivirus: Zur Abwehr von Virenangriffen
Mail-Filter: für die Überwachung des Mail-Datenverkehrs
URL-Filter: Die Verwaltung der Internetzugänge erfolgt anhand von Gruppen. Dies ist ein gängiges Verfahren und hat sich so bewährt.
SSL-Decription: Der gesamte Datenverkehr kann verschlüsselt werden. Dies erhöht die Sicherheit. Stormshield operiert dabei bis auf die Ebene 7 des IOS/OSI-Stacks und verschlüsselt auch den Datenstrom des Applikations-Levels.
SSL-Filter: zur Überwachung des SSL-Datenstroms dient der integrierte SSL-Filter
Vulnerability Assessment & Application inventory: Diese Funktionen untersuchen die Geräte auf ihre Verwundbarkeit (Vulnerability ) und helfen bei der Sicherung der Systeme gegen Angriffe von außen.
VPN: Hinsichtlich der VPNs unterstützt die Stormshield-Appliance alle heute gängigen Varianten
Eine Möglichkeit zur Beurteilung von Sicherheitssystemen, wie auch der Stormshield-UTM, sind allgemeine Sicherheitsmaßstäbe wie etwa Common Criteria. Stormshield erreicht in diese Disziplin die Stufe EAL4+. Die Regeln nach Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards gebildet und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408. Viele Hersteller orientieren sich an diese Regeln und haben ihr Produkte den notwendigen Evaluierungen unterzogen. Der Großteil der Sicherheitsfunktion sind dabei direkt in den Kernel (Kernel space) des Systems integriert. Dies erlaubt eine flotte Abarbeitung, da dabei Übergänge von Systemkernel in den Benutzerbereich (User space) überflüssig sind.
Der Hersteller bietet diese Funktionen in unterschiedlichen Ausbaustufen an. Diese umfassen im Kern die gleichen Sicherheitseinrichtungen, der größte Unterschied in den Modellen liegt vor allem in der Leistung und dem Durchsatz. Stormshield bietet seine Systeme vom Einsatz im SOHO bis hin zu den Unternehmen mittlerer Größe oder Großunternehmen (Enterprises).
Die hier betrachtete SN3000 ist eines der mittleren Modelle. Sie kann auf 26 Ethernet-Ports (10/100/1000), sowie 16 Fiber-Ports (1Gbps) oder 8 Fiber-Ports (10 Gbps) ausgebaut werden. Der Hersteller gibt für die Firewall einen Durchsatz von 50 Gbps an. Das IPS schafft laut Datenblatt 30 Gbps. Beim IPSec-VPN-Durchsatz erreicht die Appliance 6.5 Gbps.Als maximale Sessionanzahl wird mit 350.000 beziffert.
Inbetriebnahme und Konfiguration
Die Inbetriebnahme der SN3000 gestaltet sich einfach. Dazu ist die Appliance über einen bestehenden Netzwerk-Port mit dem Internet-Router oder Gateway zu verbinden.
Dies ist der Weg nach außen. Zur Verwaltung dient ein weiterer Port. Über diesen wird mittels Browser der Zugang zur Verwaltung der Appliance aufgebaut. Die Appliance umfasst einen DHCP-Server und bezieht ihre Adresse nach außen vom Router.Das Management der Security-Appliance erfolgt durch einen Webbrowser. Die Verwaltungsoberfläche ist modern und klar strukturiert. Im linken Fensterbereich sind die Verwaltungsgruppen, rechts daneben werden die jeweiligen Details dazu in mehreren Fenster eingeblendet. Am oberen Rand sind mehrere Icons zum direkten Aufruf von wichtigen Funktionen.
Dies ist ein gängiges Vorgehen, der Benutzer wird sich schnell damit zurechtfinden. Die Verwaltung des Systems erfolgt durch zwei wesentliche Bereiche. Auf diese soll im Folgenden kurz eingegangen werden. Der Leser kann daraus auch direkt die Möglichkeiten der Appliance ableiten. Unter der Rubrik "Konfiguration" sind eingruppiert:
Dashboard: liefert einen Überblick zu wichtigsten Ereignissen und zum Betrieb der Appliance. Die Konfiguration und Position von Fenstern kann wahlfrei erfolgen. Der Anwender kann sich damit seine eigene Verwaltungsoberfläche individuell zusammenstellen.
System: Darin werden mehrere allgemeine Systemkonfigurationen zusammengefasst, wie etwa zu den Lizenzen, der Wartung, dem Update und ähnliche Einstellungen. Dazu gehört auch die Konfiguration der Hochverfügbarkeit. Sie benötigt mindestens zwei Appliances.
Netzwerk: alles zur Netzwerkkonfiguration, den Schnittstellen, Routing, DNS, DHCP, Proxy. An dieser Stelle sind auch virtuelle Schnittstellen für IPSec zu konfigurieren.
Objekte: Objekte sind übergreifende Konfigurationselemente, vergleichbar mit einem Alias. Sie treten anstellen von konkreten Einträgen wie IP-Adressen. Durch die Alias-Definitionen wird die Verwaltung vereinfacht.
Benutzer: Die Definition der Sicherheitsregeln und Zugriff ist an Benutzern oder Benutzergruppen ausgelegt. Ihre Verwaltung erfolgt an diese Stelle.
Sicherheitsrichtlinien: Hierin werden die Regeln der Sicherheit festgelegt. Hierbei wird beispielsweise festgelegt, wer mit wem über welchen Kanal kommunizieren darf oder nicht. Stormshield teilte diese Überwachung in fünf Filtertypen ein: Filter-NAT, URL-Filter, SSL-Filter, SMTP-Filter, QoS und implizite Regeln. Die Definition der Filter ist einfach und orientiert sich an den gängigen Abläufen.
Anwendungsschutz: In der Rubrik des Anwendungsschutz finden sich neben den traditionellen Sicherheitsfunktionen Antivirus und Antispam vier weitere Schutzfunktionen: Unter Protokolle erfolgt die Prüfung der Protokoll und deren Inhalte. In Anwendungs- und Schutzfunktionen sind allgemein Sicherheitsprüfungen wie etwa auf DNS-Spoofing zu finden. Im Vulberability Manager erfolgt die Prüfung der Geräte auf Schwachstellen.
VPN: Hier erfolgt die Definition der VPNs. Als IPSec-Durchsatz der SN3000 gibt Stormshield 6,5 Gbps an. Dabei sind maximal 5000 VPN-Tunnels möglich.
Benachrichtigungen: Im Reporting erfolgt eine Langzeitanalyse der Geschehnisse auf der Appliance. Reporting wird oftmals aber als Grundlage für Abrechnung oder dem Nachweis der Compliance herangezogen. Stormshield bietet darüber hinaus einen Real-Time Monitor und Event Analyzer. Der Real-Monitor dient zur Echtzeitüberwachung und der Event Analyzer wiederum hilft bei der Ursachenforschung der Events. Die Activity Reports liefern Information zum laufenden Geschehen. Ferner stehen diverse Logging-Hilfen und eine Log-Appliance (Virtual Log Appliance for Stormshield) zur Verfügung.
Übergreifende Objekte vereinfachen die Verwaltung
Traditionelle Firewalls operieren oftmals mit IP-Adressen. Dabei wird festgelegt, welche IP-Adressen miteinander kommunizieren dürfen. In den Regeln der Firewalls werden dabei konkrete IP-Adressen hinterlegt. Wenn diese sich ändern, müssen die Regeln angepasst werden. Das ist zeitaufwändig. Stormshield bringt stattdessen Objekte ins Spiel.
Objekte sind dabei eine übergreifende Einrichtung, vergleichbar mit einem Alias. Objekte vereinfachen die Verwaltung. Wenn beispielsweise Regeln direkt mit IP-Adressen operieren so sind alle Regeln zu ändern, wenn sich die IP-Adresse ändert. Durch die Einführung des Objektes ist die Änderung nur an einer Stelle notwendig. Objekte werden aber nicht nur für IP-Adresse definiert. Die Objektdefinition bestehen ferner für Netzwerke, Web-Elemente, Zertifikate oder Zeitangaben. Ein Zeit-Objekt Mittagspause kann beispielweise verwendet werden, wenn den Mitarbeitern just in dieser Zeit, der Internetzugang ermöglich sein soll. Ändern sich die Pausen so muss lediglich das Objekt angepasst werden.
Regeln bestimmen die Kommunikation
Zu den grundlegenden Kontrollobjekten bei solchen Sicherheitseinrichtungen und auch der Stormshield UTMs gehören die Kommunikationsregeln. In dieser Hinsicht ist die Verwaltung der Stormshield mit den Konzepten, wie sie bei ähnlicher Sicherheitseinrichtung anzutreffen sind, durchaus vergleichbar.
Die Regel beschreibt die erlaubten Kommunikationskanäle. Neben den bis dato erwähnten Sicherheitseinrichtungen umfassen die Stormshield-UTMs aber auch alle gängigen und von anderen Werkzeugen bekannten Features. Dazu zählen die erwähnten Funktionen für Anti-Spam und Anti-Virus, das IPS, der Verwaltung von Zertifikaten für eine gesicherte Kommunikation, der Schutz vor Spoofing, die Verwaltung von VPNs und ähnliche Sicherheitshilfen.
Der integrierte Content Filter für Webzugriffe oder Applikationen untersucht den Kommunikationsstrom nach Angriffen und prüft Schlüsselworte, URLs, Domain Names oder beispielsweise Dateitypen. Alle Sicherheitsfunktionen hier aufzuschlüsseln wäre unmöglich. Die gezeigten Beispiele sollen lediglich aufzeigen, dass Stormshield in seinen UMTM ein umfassendes Paket an Security Features implementiert hat.
Fazit
Stormshield deckt mit seiner UTM alle benötigten und gängigen Sicherheitsfunktionen ab. Die zentrale und sehr modern aufgebaute Verwaltungskonsole vereinfacht die Administration. Der Administrator muss sich dabei nicht um unterschiedliche Toolsets bemühen, die mit einer eigenen Managementkonsole bedient werden müssen. Dies macht die Sache angenehmen. Die technischen Features der Appliances entsprechen eines ausgereiften Sicherheitssystems. Durch die Implementierung des Codes im Kernel wird genügend Leistung für umfangreiche Sicherheitsprüfungen bereitgestellt. Dennoch: Sicherheit ist kein einfaches Themen. Der Nutzer sollte mit den grundlegende Sicherheitskonzepten und deren Verwaltung vertraut sein. (hal)