Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER

UTM einfach konfiguriert

Die patentierte eGUI-Oberfläche von Gateprotect vereinfacht das Aufsetzen einer UTM-Appliance.

Artikel erschienen in Swiss IT Magazine 2008/10

     

Die simple Firewall wird zunehmend durch Unified Threat Management (UTM) abgelöst: Nicht nur direkte Hacker-Angriffe, sondern alle möglichen unerwünschten Netzwerkaktivitäten sollen abgewehrt werden. Eine ganze Reihe von Herstellern bietet zu diesem Zweck fixfertig konfigurierte UTM-Appliances an, die meist auf einer speziell auf den Einsatzzweck hin abgehärteten Linux-Distribution basiert.


Komplexe Funktionalität, einfache Bedienung

Schon die herkömmliche Firewall bietet eine umfangreiche Fülle von Konfigurationsmöglichkeiten, mit der nur Spezialisten zurechtkommen. Der IT-Verantwortliche im KMU ist damit rasch überfordert und verzichtet aus Angst, etwas falsch zu machen, auf manche eigentlich vorhandenen Möglichkeiten. Die Folge: Die Firewall ist nicht optimal konfiguriert, das Netzwerk bringt nicht die volle Leistung, und manche Sicherheitsprobleme, die eine Firewall eigentlich beseitigen sollte, bleiben bestehen. Kommen zur Firewall zusätzliche UTM-Funktionen hinzu, wird die Sache noch komplexer.



Auch der deutsche Hersteller Gateprotect ist zu dieser Erkenntnis gekommen: «Ein Firewall-System kann immer nur so sicher sein, wie der Anwender es bedienen kann.» Gateprotect hat für seine UTM-Firewall-Appliances deshalb einen GUI-Konfigurationsdesktop entwickelt, mit dem sich die Konfigurations- und Administrationsaufgaben prozessorientiert in einer übersichtlichen Umgebung erledigen lassen. Es handelt sich dabei um eine Windows-Anwendung – die Bedienung via Webbrowser ist nicht vorgesehen.


Konfiguration per Drag&Drop

Im Zentrum der Oberfläche steht die grafische Darstellung sämtlicher Objekte im Netz: Clients, Server, interne und via VPN verbundene User und Usergruppen, Objekte in der DMZ und so weiter werden samt ihren Verbindungen symbolisch dargestellt. Neue Objekte erstellt man per Drag&Drop: Das entsprechende Symbol wird aus der Toolbar auf den Desktop gezogen, zur Eingabe der Eigenschaften des Objekts erscheint automatisch das passende Dialogfenster. Bestehende Objekte lassen sich ebenfalls per Drag&Drop zu Gruppen zusammenfassen.


Verbindungen erstellt man ebenso einfach, indem man nach der Wahl des Verbindungswerkzeugs die zu verbindenden Objekte nacheinander anklickt. Beim Klick auf einen Knotenpunkt der Verbindungslinie erscheint der Regeleditor, mit dem sich die Zugangsregeln für die verschiedenen Netzwerkdienste unkompliziert definieren lassen.



Es versteht sich von selbst, dass der GUI-Client fehlendes Netzwerkwissen nicht ersetzt – auch bei Gateprotect braucht der Administrator gute Kenntnisse darüber, wie eine Firewall arbeitet und wie sich die verschiedenen UTM-Funktionen einsetzen lassen. Die korrekte Konfiguration des Sicherheitssystems wird aber nicht wie bei vielen anderen Herstellern durch eine sperrige Bedienung auf einer verwirrenden Oberfläche erschwert, bei der wichtige Einstellungen in mehrfach verschachtelten Dialogen versteckt oder in Form kryptisch beschrifteter Bedienungselemente realisiert sind.


Die Übersicht behalten

Um die Übersicht auch in komplexen Netzwerken zu gewährleisten, bietet der Gateprotect-Desktop verschiedene Komfort-Features. So werden bei der Auswahl eines Objekts seine Verbindungen samt den zugehörigen verbundenen Objekten hervorgehoben, alles andere wird ausgeblendet. Der linke Fensterbereich zeigt eine Liste aller Netzwerkdienste. Ist gerade ein Objekt auf dem Desktop gewählt, werden die aktiven Dienste hervorgehoben. Umgekehrt bewirkt ein Klick auf einen Dienst in der Liste, dass auf dem Desktop alle Objekte hervorgehoben werden, für die der Dienst aktiviert ist.


Der rechte Fensterbereich präsentiert wahlweise eine Liste aller definierten User und Gruppen oder verschiedene Suchfunktionen für beliebige Objekte und einzelne Rechner.



Hier findet sich auch die Option «Ansicht»: Der Gateprotect-Desktop erlaubt die Anordnung der Netzwerkobjekte in mehreren Ebenen, die sich nach Bedarf ein- und ausblenden lassen. Darunter erscheinen eine kleine Übersichtsdarstellung des gesamten Desktop und ein Zoomregler, mit dem sich der angezeigte Bereich grösser oder kleiner einstellen lässt.


Umfassende Funktionen

Funktional entspricht die Gateprotect-Software dem gängigen Standard bei Linux-basierten UTM-Firewall-Systemen. Laut Hersteller basiert das System auf einer angepassten Debian-Distribution. Neben der grundlegenden Firewall-Funktionen – Sperrung von Ports und Handling von VPN-Verbindungen – bietet der Gateprotect xUTM Firewall Server folgende Haupt-Features:



- Web-Zugangskontrolle mit URL- und Content-Filter auf Basis der Cobion-Technologie.


- Quality of Service und Traffic Shaping.

- Application Level Filtering unabhängig von den verwendeten Ports (berücksichtigt die Protokolle HTTP, FTP, POP3, SMTP, DNS) – hier kommt die Open-Source-Lösung L7-Filter zum Einsatz.

- Intrusion Detection, basierend auf dem Open-Source-System SNORT.

- Ein Spamfilter, der auf der Antispam-Technik von Commtouch basiert. Das Gerät kommt mit einer 30-Tage-Testlizenz; wer den Spamfilter permanent nutzen möchte, muss danach eine zusätzlich kostenpflichtige Lizenz lösen.

- Ein Virenscanner mit Kaspersky-Technologie – auch dafür braucht es nach der 30-tägigen Testphase eine gesonderte Lizenz.


Neues in Version 8

An der diesjährigen Cebit hat Gateprotect seine Firewall-Software in einer neuen Ausgabe präsentiert. Version 8.0 bringt als Neuerung insbesondere einen Bridge-Modus, in dem sich die Appliance einfacher in ein bestehendes Netzwerk integrieren lässt, ohne dass dazu die vorhandenen IP-Adressen und Zugriffsberechtigungen angepasst werden müssen. Neu unterstützt die Gateprotect-Firewall auch die Unterteilung des physischen Netzwerks in beliebig viele VLANs. Neben dem schon bisher verfügbaren IPSec-Modus unterstützt die Gateprotect-Firewall ausserdem jetzt auch universeller nutzbare SSL-gesicherte VPN-Verbindungen.



Die Gateprotect-Software lässt sich theoretisch auch auf einem eigenen Server installieren, typischerweise kommt sie aber auf einer schlüsselfertig aufgesetzten Appliance zum Einsatz. Der Hersteller bietet seine Geräte, die im feuerwehrroten Gehäuse daherkommen, in drei Produktelinien für unterschiedlich grosse Umgebungen an: Die Office-Serie bedient kleine Firmen mit 5 bis 25 Usern. Das kleinste Modell GPO 75 bietet einen Firewall-Durchsatz von 90 Mbit/s, bewältigt bis zu 2500
E-Mails pro Tag und kostet knapp 500 Euro. Die Geräte der A-Serie und der X-Serie eignen sich für Umgebungen mit 100 bis 2500 Usern. Die Preise der grösseren Modelle gibt Gateprotect auf Anfrage bekannt.

(ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
IT-Sicherheit: Mobiles Arbeiten birgt neue gefährliche Risiken
Eigene Daten im ChatGPT
Universal Archiving - zukunftssicher archivieren
Managed IT Services: Man muss nicht alles können - mit dem richtigen Partner an der Hand
Services aus der Microsoft Cloud - sinnvoll um jeden Preis?
Digital Experience Monitoring: Das optimale Kundenerlebnis sichern
GOLD SPONSOREN
SPONSOREN & PARTNER