Messe-Rundgang: Der Trend geht zu mehr Funktionen

Appliances liefern Sicherheit schwuppdiwupp

01.03.2002
MÜNCHEN (ave) - Fertig installierte und zum Teil vorkonfigurierte Security-Appliances versprechen größere Wirtschaftlichkeit, weil sie schnell in Betrieb zu nehmen und leichter zu verwalten sind. Auf der CeBIT präsentiert eine Reihe von Herstellern entsprechende Produkte.

Das Appliance-Konzept entstand ursprünglich als Reaktion auf den ständig wachsenden Administrationsaufwand, infolge der zunehmenden Komplexität von IT-Infrastrukturen in Unternehmen. Vorinstallierte und -konfigurierte Systeme sollten die Implementierungszeiten verkürzen und zudem wesentlich einfacher zu verwalten sein als individuelle Lösungen. Als Ergebnis erwartete man eine verbesserte Wirtschaftlichkeit solcher Einrichtungen.

Waren Security-Appliances bislang noch hoch spezialisierte Geräte, die lediglich einem bestimmten Zweck dienten (etwa als Firewall oder VPN-Gateway), deutet sich hier inzwischen eine Trendwende an: Immer mehr Anbieter gehen dazu über, in ihren Appliances mehrere Funktionen gebündelt anzubieten. Das erhöht zwar wieder die Komplexität und macht auch die Konfiguration schwieriger, was der ursprünglichen Idee widerspricht. Bei Nokia beispielsweise ist man aber überzeugt, dass solche Geräte im Hinblick auf Installation, Konfiguration und Management noch immer attraktiver sind als einzeln gekaufte Produkte.

Nokia integriert neue BedienoberflächeDie Finnen zeigen ihre Appliances auf der Messe unter anderem am Stand ihres Partners Checkpoint in Halle 6, Stand G18. Das Angebot umfasst Lösungen für die Bereiche Firewall/VPN, Intrusion Detection und Virenabwehr. Nokia kooperiert bei seinen Appliances außer mit Checkpoint mit den Partnern Internet Security Systems (ISS) und McAfee . Im Bereich Firewall/VPN bietet der Hersteller insgesamt sechs Geräte, die sich für den Einsatz in Außenstellen und Small Offices/Home Offices ("IP 51") bis hin zu Firmennetzen ("IP 740") eignen. Nokia sieht einen der Vorteile seiner Appliances in dem gehärteten Betriebssystem "Ipso", auf dem alle diese Produkte basieren. Als weiteren Pluspunkt nennt der Hersteller die Bedienoberfläche "Voyager", die ebenfalls bei allen Systemen gleich ist, was zur einfacheren Handhabung beitragen soll.

Checkpoint führt inzwischen aber auch eigene Appliances im Programm: Unlängst hat der Firewall-Spezialist die Produkte "Safe@Home Pro, "Safe@Office" und "VPN-1/Firewall-1 Small Office NG" vorgestellt. Die beiden ersteren stammen von der Checkpoint-Tochter Sofaware. Sie bieten Firewall- und VPN-Funktionalität für den Heim- beziehungsweise Soho-Bereich (bis zu 25 Anwender). Office NG eignet sich für Umgebungen mit bis zu 50 Anwendern. Der Preis für die Geräte liegt zwischen 400 und 1200 Dollar.

Auf fertige Geräte setzt auch der Security-Spezialist Symantec , der auf der CeBIT in Halle 6, Stand F20 zu finden ist. Seit einem guten Jahr bietet das Unternehmen einfach zu konfigurierende Produkte mit Firewall- beziehungsweise Intrusion-Detection-Funktionen. Die Reihe seiner bekannten Geräte mit den Namen "Velociraptor" und "Enterprise Firewall" hat der Hersteller um neue "Gateway Security Appliances" ergänzt, die in Hannover erstmals zu sehen sind. Bei den Geräten handelt es sich um komplette Sicherheitslösungen: Sie verfügen über kombinierte Firewall-, Antivirus-, Intrusion-Detection-, VPN- und Content-Filtering-Funktionen. Durch die Integration der verschiedenen Funktionen in einem Produkt sollen Kompatibilitätsprobleme zwischen Geräten verschiedener Hersteller künftig der Vergangenheit angehören.

Die Komponenten sind für den Einbau in 19-Zoll-Racks bestimmt und sollen sich durch einen Preis auszeichnen, der laut Symantec "unter der Summe der Einzelteile" liegt. Softwarehilfen ("Wizards") erleichtern laut Hersteller die Konfiguration. Das Produkt wird in drei Varianten erhältlich sein ("5110", "5200" und "5300"), so dass es die Bedürfnisse von kleinen Firmen mit etwa 50 Beschäftigten bis hin zu Unternehmen mit 1000 Knoten abdecken kann.

Netzprimus Cisco Systems zeigt in Halle 13, Stand C58 seine Sicherheitslösungen für Netzwerke. Dazu gehört auch die Firewall-Appliance "Pix 501", die sich mit ihrer einfachen Konfiguration speziell für die Absicherung von Außenstellen oder die Anbindung von Telearbeitern an ein Unternehmensnetz eignen soll. Die Firewall-Funktion arbeitet mit dem Verfahren "Stateful Inspection". Außerdem soll das Gerät Einbruchsversuche erkennen können (Intrusion Detection) und Virtual Private Networks (VPNs) unterstützen.

Dank einer Remote-Management-Funktion müssen sich die Mitarbeiter vor Ort nicht um die Verwaltung des Geräts kümmern, sondern können dies den Kollegen aus der Zentrale überlassen. Die Pix 501 ist in verschiedenen Versionen für zehn bis 50 Nutzer zu haben. Die Preise dafür reichen von 595 bis rund 1200 Dollar.

Interne Sicherheitszonen einrichtenIn Halle 15, Stand B11 präsentiert der Anbieter Netscreen seine Produkte. Dazu gehören vier neue Security-Appliances, die für den Einsatz in kleineren und mittleren Unternehmen entwickelt wurden. Im unteren Bereich angesiedelt sind der "Netscreen 25" und der "Netscreen 50". Mit Firewall-Durchsatzraten von 100 beziehungsweise 170 Mbit/s eignen sie sich für Außenstellen oder kleine Büros. Die Netscreen-Geräte bieten daneben auch VPN-Funktionen.

Für größere Umgebungen bestimmt sind die leistungsstärkeren Modelle "Netscreen 204" und "Netscreen 208". Sie unterstützen bis zu 1000 VPN-Tunnel gleichzeitig und erlauben Datentransfers mit maximal 550 Mbit/s bei vollem Schutz durch die Firewall. Die Preise für die neuen Geräte beziffert der Hersteller mit 4500 (Netscreen 25) bis knapp 20000 Dollar (Netscreen 208). Jeder Port der Geräte lässt sich separat als "trusted" oder "untrusted" konfigurieren, außerdem sollen Netzattacken auf jeder Schnittstelle einzeln zu blocken sein.

Fernwartung durch den LieferantenNach Aussagen von Peter Crowcombe, Product Marketing Manager EMEA bei Netscreen, eignen sich die Lösungen dadurch nicht nur dazu, das Unternehmen nach außen abzusichern, sondern können auch dazu dienen, um innerhalb eines Netzwerkes Sicherheitszonen aufzubauen. Alle Netscreen-Appliances sind vorkonfiguriert, als Anwender hat man jedoch die Möglichkeit, die Einstellungen seinen Bedürfnissen anzupassen.

Der auf Security-Appliances spezialisierte Augsburger Hersteller Linogate ist diesmal nicht mit einem eigenen Stand auf der CeBIT vertreten. Seine Lösung "Defendo" kann man aber dennoch in Augenschein nehmen, denn Linogate hat OEM-Vereinbarungen mit Herstellern wie Siemens AG oder Troy GmbH . Siemens zeigt in Halle 27, Stand C32 unter dem Namen "Esienet" die Appliance, die Firewall, Virenscanner, Intrusion-Detection-System und VPN-Gateway in einem ist. Der Herrenberger Anbieter Troy (Halle 6, Stand E52) vertreibt das Gerät unter der Bezeichnung "Troygate".

Die Hardwarebasis des Produkts bilden Standard-PC-Komponenten. Das Management erfolgt mit einem Web-Browser. Die Wartung kann auch der Lieferant remote übernehmen, falls das nötige Know-how im Unternehmen nicht vorhanden ist. Die Lösung gibt es in drei Versionen für bis zu 20, 50 oder 250 Nutzer.

Verdächtige Software in der Sandbox unter die Lupe nehmenDer Anbieter Array Networks stellt in Halle 6, Stand G 02 aus. Das kalifornische Unternehmen besucht erstmals die CeBIT und präsentiert seine Produkte am Stand seines Partners Adiva . Die Produkte der "Array"-Reihe vereinen verschiedene Funktionen wie Load-Balancing, Caching, Clustering oder Firewall in einem Gerät. Die Modelle "Array 1000 TX" und "Array 1000 TX-i" sollen sich besonders für große Unternehmen eignen. Sie unterstützen Websites mit bis zu 1000 verteilten Servern und bieten einen Datendurchsatz von 500 Mbit/s bis zu 16 Gbit/s. Dabei sollen Angaben des Herstellers zufolge bis zu 250000 gleichzeitige Verbindungen möglich sein.

Eine Neuigkeit im Bereich der Security-Appliances ist außerdem in Halle 17 am Stand D 56 zu sehen. Der Hersteller Aladdin Knowledge Systems präsentiert dort erstmals in Deutschland sein Gerät "Esafe". Es handelt sich dabei um einen vorkonfigurierten Rechner mit Linux als Betriebssystem, auf dem Aladdin die Lösungen "Esafe Gateway" (Firewall) und "Esafe Mail" (Mail-Scanner) installiert hat. Zum festen Bestandteil der Lösung zählt die so genannte Sandbox-Technik: Sie ermöglicht es, verdächtige Software in einer abgeschotteten, virtuellen Umgebung auszuführen, so dass sich ihre Wirkung testen lässt.

Eine Auto-Update-Funktion erspart dem IT-Personal das Einspielen neuer Programmversionen. Die Esafe-Appliance kostet zwischen 750 und 850 Dollar, hinzu kommen eine von der Zahl der zu schützenden Arbeitsplätze abhängige Lizenzgebühr für die auf dem Gerät installierte Software sowie ein dem jeweiligen Wartungsvertrag entsprechender Betrag.

Auf Security-Lösungen hat sich auch die Karlsruher Astaro AG (Halle 16, Stand B33) spezialisiert. Von diesem Unternehmen stammt das Firewall-Produkt "Astaro Security Linux". Eine Reihe von Herstellern bietet Geräte an, in denen diese Software zum Einsatz kommt, so etwa Pyramid Computer Systeme (Halle 16, Stand C22). Die "Astaro Firewall" gibt es in zwei Varianten mit drei oder sechs 10/100-Mbit/s-Ports. Außerdem liefert Pyramid eine "Enterprise Edition" (mit bis zu 20 10/100-Mbit/s-Ports) für den Einsatz in großen Netzen mit mehr als 500 Usern.

Alle Versionen verfügen über Paket- und Content-Filtering, sowie VPN-Funktionalität. Ein Virenscanner ist ebenfalls lieferbar. Die Software ist bereits vorinstalliert, und die Produkte lassen sich damit laut Hersteller sofort einsetzen. Die Gehäuse entsprechen den gängigen Maßen für den Einbau in ein 19-Zoll-Rack. Pyramid bietet dazu den "Up2Date-Service": Patches und Software-Updates werden dabei direkt über das Internet auf das Gerät gespielt, so dass es immer den aktuellsten Stand aufweist. (ave)

AppliancesHinter dem Begriff "Appliance" verbergen sich in der Netzwerktechnik leicht konfigurierbare Geräte für spezielle Aufgaben. Im Sicherheitsbereich gibt es beispielsweise Appliances mit Firewall- oder Antiviren-Funktionalität. Solche Komponenten sollen sich mit möglichst geringem Aufwand an das Netz anschließen und benutzen lassen. In der Praxis funktioniert das von vielen Herstellern propagierte Plug and Play jedoch nur in den seltensten Fällen. Autodiscovery-Funktionen nehmen dem Administrator zwar einige Arbeiten ab, um das volle Funktionsspektrum nutzen zu können, müssen die IT-Profis nach wie vor selbst Hand anlegen.