Um der zunehmenden Angriffe aus dem Internet Herr zu werden, wird auf dem Markt ein ganzes Bündel von Sicherheitstechniken und -werkzeugen angeboten. Dazu gehören Virenscanner, Hilfen zur Erkennung von Spyware, Adware oder sonstiger Malware, Intrusion-Detection- und -Prevention-Systeme und natürlich Firewalls. Oftmals werden auch VPN-Gateways oder allgemeine Zugriffs-Gateways dazugepackt. Diese kontrollieren den Benutzerzugriff von außen auf die internen Daten und Applikationen im Unternehmen.
Die einzelnen Systeme erfüllen mehr oder minder gut ihren Dienst. Doch die Verwaltung all dieser Werkzeuge basiert meist auf getrennten Daten, Verfahren und Konsolen. Und das wiederum erfordert umfangreiches Know-how und hohen Zeitaufwand – und dann bleiben immer noch Lücken. Auch die funktionale Zusammenarbeit der einzelnen Module ist oftmals noch unzureichend.
Um Sicherheitslücken und Aufwand der Verwaltung zu reduzieren, gehen die Produktanbieter dazu über, die ehemals singulären Funktionen beziehungsweise Produkte verstärkt zu integrieren. Parallel dazu packen die Hersteller die Security-Bausteine oftmals in einer Hardwareeinheit zusammen und stellen sie unter eine gemeinsame Konsole. Dies erspart die umständliche Verwaltung unterschiedlicher und voneinander getrennter Sicherheitssysteme. Vertrieben werden diese Produkte häufig unter dem Schlagwort des Unified Threat Management (UTM). Dies ist auch der Weg, den Cyberoam bei seiner UTM-Box geht. Das Unternehmen bündelt in seiner Sicherheits-Appliance unterschiedlichste Funktionen zu einer integrierten Einheit. Bei dieser Auswahl hat der Hersteller nicht gespart.
Die Cyberoam CR50ia zählt zu den umfangreicheren Angeboten in diesem Segment. Sie umfasst eine Stateful-Inspection-Firewall, Sicherungen gegen Spam, Viren, Spyware, ein Intrusion-Prevention-System, die Verwaltung von Virtual Privat Networks, ein Bandbreitenmanagement und Funktionen zum Content und Application Filtering. In unserem Test muss die UTM-Appliance aber erst beweisen, was wirklich in ihr steckt.
Gerätedetails und Schnittstellen
Der Hersteller liefert die UTM-Box der CR-Serie in neun unterschiedlichen Versionen. Ihr wichtigstes Unterscheidungsmerkmal ist der Datendurchsatz und die Leistung der Appliances unter verschiedenen Anwendungsaspekten. Für diesen Test haben wir uns für Modell Cyberoam CR 50ia entschieden. Das Gerät adressiert kleine und mittlere Netzwerke und wartet mit folgenden herstellerspezifischen Leistungsdaten auf:
• Durchsatz der Firewall 750 Mbit/s
• Neue Sessions / Sekunde 3000
• Concurrent Sessions 220.000
• 3DES/AES-Durchsatz 50/60 Mbit/s
• Antivirus-Durchsatz 120 Mbit/s
• IPS-Durchsatz 200 Mbit/s
• UTM-Durchsatz 125 Mbit/s
• Anzahl der Knoten unlimitiert
• Benutzer unlimitiert
Das Modell CR50ia ist die zweitkleinste Variante bei Cyberoam. Sie wird als 19-Zoll-Rack-Einschub mit den Abmessungen 43 x 26 x 4,3 cm geliefert Das größte Modell bildet die CR 1500i mit beispielweise 40.000 neuen Sessions pro Sekunde und einem Durchsatz der Firewall von 6000 Mbit/s.
Auf der Vorderseite der Appliance befinden sich sechs Gbit-Netzwerkanschlüsse. Fünf dieser Anschlüsse können für die Segmentierung des Netzes herangezogen werden. Sie sind mit den Bezeichnungen „A“ bis „F“ versehen. Beim sechsten Port handelt es sich um einen Konsolenanschluss. Er dient zur Verwaltung der Box. Ferner hat der Hersteller der UTM zwei USB-Ports und eine Reset-Taste mitgegeben. Auf der Rückseite befinden sich der Netzschalter samt Netzanschluss und die Öffnungen des Luftauslasses der beiden Lüfter.
Erste Kontaktaufnahme zur UTM herstellen
Die Verwaltung der Appliance kann über einen der fünf generischen Netzwerkanschlüsse „A“ bis „F“ erfolgen. Dazu muss allerdings die jeweils zugewiesene IP-Adresse bekannt sein. Alternativ steht der Management-Port für den Konsolenanschluss zur Verfügung. Hierzu ist aber ein gängiges Konsolenprogramm, wie etwa Hyperterminal oder Winrs, zu verwenden.
Neue Appliances können über den Port „A“ und die IP-Adresse 172.16.16.16 angesprochen werden. Dies versuchten wir auch im Rahmen unseres Testszenarios. Die Appliance reagiert allerdings nicht darauf. Auch der Ping blieb erfolglos. In diesem Fall muss die initiale Einrichtung über den Konsolen-Port erfolgen. Für den Konsolenanschluss liefert der Hersteller das passende Kabel mit.
Aufseiten des PCs wird für den Konsolenanschluss ein serieller Port benötigt. Dies ist bei den modernen Computern, die allesamt mit USB, eSATA, Firewire und dergleichen ausgestattet sind, keine Selbstverständlichkeit. Unser Verwaltung-PC besitzt noch einen seriellen Port. Das Betriebssystem des Verwaltungsrechners ist Windows 7. Dies stellte sich bei unserem Test jedoch als Nachteil heraus, denn bei Windows 7 hat Microsoft das Tool „Hyperterminal“ entfernt. Daher verwendeten wir kurzerhand ein anderes Gerät mit Windows XP und Hyperterminal zur initialen Verwaltung der Appliance.
Reset to factory defaults mit neuer GUI
Der Verbindungsaufbau des Hyperterminals mit der Appliance ist schnell passiert. Hier sind die Standardeinstellungen zu wählen. Die Appliance verlangt zu Beginn ein Passwort. Nach dessen Eingabe wird ein zeichenbasiertes Menü angezeigt. Unter dem Punkt „Networkconfiguration“ lassen sich dann auch die aktuell geltenden IP-Einstellungen auslesen. Dabei zeigte sich, dass die Appliance mit IP-Adressen ausgestattet war, die mit den Standardeinstellungen nicht übereinstimmen. Die Rückfrage beim Hersteller ergab, dass diese Appliance wohl vorher in Benutzung war und somit nicht dem „Factory-Default“ entsprach. Daher entschieden wir uns, die Appliance gänzlich neu einzurichten.
Hierzu hat der Hersteller die Option „Reset to factory defaults“ bereitgestellt. Diese Option verhilft zu einem definierten Ausgangszustand. Das kann auch im produktiven Betrieb mitunter recht nützlich sein und sorgt für klare Verhältnisse. Der Reset zu den Standardeinstellungen ist in wenigen Minuten abgeschlossen.
Unsere Rückfrage beim Hersteller ergab aber auch, dass in der Zwischenzeit ein erneuertes GUI für die Appliance verfügbar ist. Die gelieferte Box wies die Firmware 9.6.0 auf. Mittlerweile allerdings hat der Hersteller die Version 10 freigegeben. Da sich diese hinsichtlich des GUI allerdings erheblich von der Version 9.6.0. unterscheidet, entschieden wir uns, ein Update der Firmware durchzuführen.
Einfaches Upgrade auf neue Version
Im Folgenden zeigen wir kurz den Ablauf eines Upgrades auf eine neue Firmware-Version. Da diese auch für die bestehenden Nutzer einer Cyberoam von Interesse sein mag, wollen wir diese Schritte im Einzelnen verdeutlichen:
1. Die UTM auf der Cyberoam-Website registrieren.
2. Als Kunde auf dem Cyberoam-Kunden-Login einloggen.
3. Downloaden des Firmware-Upgrade auf den Verwaltungsrechner.
4. Ein zweites Browser-Fenster öffnen und an der Cyberoam anmelden (http://172.16.16.16)
5. Aufruf des Menüs „Help“ und darin der Option „Upload upgrade“.
6. Das vorher geladene Firmware-Upgrade in die Appliance „uploaden“.
7. Starten der Konsole (Symbol am oberen Rand der Cyberoam-Verwaltungsmaske).
8. Einloggen mit Password „admin“ (das Passwort wurde durch den Factory-Reset auf „admin“ gesetzt).
9. In der Konsole den Punkt 6 anwählen (6 Upgrade Version).
10. Bestätigen mit „y“.
11. Neustart der Appliance durchführen.
12. Nach dem Restart: neuer Verbindungsaufbau durch den Browser über http://172.16.16.16.
Wenngleich dieser Ablauf auf den ersten Blick ein wenig komplex erscheinen mag – er ist es nicht. Der ganze Prozess ist in weniger als einer Stunde durchlaufen. Den größten Anteil nimmt dabei der Schritt 9 ein.
Neues und aufgepepptes GUI für mehr Transparenz
Nach dem Reboot und dem erneuten Anmelden zeigt sich die Verwaltungskonsole in ihrem neuen Gewand. Die neue Konsole wurde vor allem in grafischer Hinsicht aufgepeppt. Die Unterschiede betreffen hauptsächlich das GUI und die Eingruppierung der jeweiligen Verwaltungstätigkeit. Laut Aussage des Herstellers sollen Darstellung und Gruppierung nun intuitiver sein – was wir auch bestätigen können. Dennoch hat uns auch die bestehende Darstellung in der Vorgängerversion gut gefallen.
Am linken Rand der Administrationskonsole sind die Menüs untergebracht, darunter auch die Verwaltungsfunktionen. Der Hersteller unterteilt die Verwaltung in die folgenden Bereiche: System, Objects, Network, Identity, Firewall, VPN, IPS, Web Filter, Application Filter, IM, QoS, Anti Virus, Anti Spam und Logs & Reports. Darunter gibt es weitere Untermenüs. Um beispielsweise die Netzwerkanschlüsse zu konfigurieren, ist unter „Network“ die passende Option „Interface“ zu finden. Das Verfahren ist für den Anwender schlüssig und schnell ersichtlich.
Am oberen Rand befinden sich Bereiche für eine eher logische und übergeordnete Betrachtungsweise der verschiedenen Aspekte. Dazu zählen ein übergreifendes Dashboard, ein Assistent zum Einrichten der Appliance, eine kommandozeilenbasierte Konsole, Support-Hinweise und ähnliche Hilfen.
Das Netzwerk-Layout der UTM
Der prinzipielle Einsatz einer UTM dient immer der Sicherung des Zugangs zum Unternehmen beziehungsweise einem gesicherten Zugriff auf die Informationen im Internet aus dem internen Netz. Die Verschaltung der Appliance kann allerdings unterschiedlich sein. Cyberoam unterstützt zwei prinzipielle Modi:
• den Bridge-Modus: Dies gilt beispielsweise bei folgender Verknüpfung: Benutzergerät – Cyberoam – eine weitere Firewall – Internet.
• den Gateway-Modus: Das Einsatzszenario sieht wie folgt aus: Benutzergerät – Cyberoam – Internet. Die separate Firewall entfällt dabei.
Für unseren Test packen wir die Sicherheits-Appliance als Gateway zwischen das interne LAN und das WAN. Dabei ist einer der Cyberoam-Ports mit dem LAN und der andere mit dem WAN zu verschalten. Welcher der fünf Ports verwendet wird, ist im Prinzip unerheblich. Die Appliance unterstützt eine wahlfreie Zuweisung der Netzwerk-Ports zu den Funktionen. Um die Konfiguration aber zu vereinfachen, hat der Hersteller drei der sechs Ports vorkonfiguriert und sie den Zonen LAN, WAN und DMZ zugewiesen. Die Verkabelung ist entsprechend der Konfiguration anzupassen. Anschließend ist die WAN-Konfiguration einzurichten. Hierbei hilft ein Einrichtungs-Wizard, der in einer mehrstufigen Dialogfolge alle wichtigen Zugangsdaten und Einstellungen abfragt. Ist die Konfiguration des WAN-Zugangs abgeschlossen, sollte bereits der Zugang zum Internet möglich sein.
Firewall-Regeln werden mit Identitäten verknüpft
Eine zentrale Sicherheitsfunktion stellt immer die Firewall dar. Durch Firewalls wird bestimmt, wer mit wem über welchen Kanal oder welches Protokoll kommunizieren darf oder nicht. Dabei wird meist eine Trennung in das interne LAN und das externe Internet vorgenommen. Meist wird das Unternehmensnetz aber weiter segmentiert und verfeinert. Der Großteil der Firewalls orientiert sich dabei just an diesen Netzsegmenten. Jeder Benutzer oder jedes Gerät in dem jeweiligen Netzsegment wird dann diesen Regeln unterworfen. Hier geht die Cyberoam-UTM weiter.
Das Sicherheitswerkzeug kennt auch Benutzer. Es verknüpft die Benutzeridentität mit den Sicherheitseinstellungen. Um dies zu prüfen, legten wir nun verschiedene Benutzer an. Die Verwaltung der Benutzer und ihrer Rechte erfolgt unter dem Menüpunkt „Identity“. Die UTM unterscheidet nach zwei Benutzertypen, dem User und einem Administrator. Zur Authentifizierung der Benutzer liefert Cyberoam mehrere Möglichkeiten: Anbindung an das Active Directory, einen LDAP-Verzeichnisdienst, einen Radius-Server, eine Windows-Domäne und die lokale Verwaltung der Benutzer durch die Cyberoam-UTM. Für unseren Test entschieden wir uns für Letzteres.
Neben dem Benutzer stehen die Gruppen. Deren Konfiguration findet sich unter „Identity“ und dann „Groups“. Bei der Definition der Gruppe lassen sich Bedingungen (Policies) setzen. Dazu gehören Policies für „Web Filter“, „Applikationsfilter“, eine „Quote“ für das Surfen und die „Access Time“, in der die Zugriffe erlaubt oder verboten sein sollen. Ferner gibt es Policies für die erlaubt Menge des Datentransfers und weitere Möglichkeiten. All diese Bedingungen gelten dann für alle Mitglieder dieser Gruppe.
Nach dem Erzeugen unserer Benutzer und Gruppen machten wir uns daran, die Firewall-Regeln zu erstellen. Dieses Prinzip ist mit den Konzepten von anderen Firewalls vergleichbar. Eine Firewall-Regel legt fest, wer mit wem kommunizieren darf. Das „Wer“ und „Mit wem“ wird als „Source“ und „Destination“ bezeichnet. Das Besondere an Cyberoam ist auch hier einmal mehr der Bezug zu den Benutzern. Durch die Option „Check Identity“ wird die Verbindung von der Firewall-Regel zu einem Benutzer oder einer Gruppe hergestellt. Bei der Anwendung der Regel erfolgt dann die Prüfung des Benutzers durch die UTM-Appliance.
Regeln bestimmen die Kommunikation
Neben den bis dato erwähnten Firewall-Funktionen umfasst die UTM ein ganzes Set an weiteren Sicherheitseinrichtungen. Dazu zählen ein IPS, Funktionen für Anti-Spam und Anti-Virus, die Verwaltung von Zertifikaten für eine gesicherte Kommunikation, der Schutz vor Spoofing, die Verwaltung von VPNs und ähnliche Sicherheitshilfen. Hinsichtlich der VPNs unterstützt die Cyberoam-Appliance alle heute gängigen Varianten wie etwa IPSec, SSL, LT2P oder PPTP. Zum Umfang der Appliance gehört darüber hinaus ein Content Filter, der den Datenstrom nach mehreren Kriterien wie beispielsweise Schlüsselwörter, URLs, Domain Names oder Dateitypen untersucht und bei Bedarf blockiert. Durch diese Filterfunktionen der Cyberoam lassen sich somit auch DLP-Funktionen abbilden.
Um einen Ausfall der Appliance zu verhindern, hat der Hersteller seine Sicherheitsbox mit HA-Funktionen (High Availability / Hochverfügbarkeit) wie Failover ausgestattet. Dazu werden dann aber zwei physische Appliances und parallele Netze verlangt. Bei diesen weiteren Sicherheitsoptionen orientiert sich Cyberoam jedoch sehr stark an den Vorgehensweisen, die bei den jeweiligen Sicherheitsfunktionen üblich sind.
Fazit
Die UTM-Appliance Cyberoam CR 50ia richtet sich in erster Linie an kleine bis mittelgroße Netzwerke und umfasst eine Menge interessanter Features, die nicht unbedingt selbstverständlich sind. Neben einem breiten Funktions-Set an Sicherheitseinrichtungen sticht insbesondere die Verknüpfung mit den Benutzeridentitäten heraus. Hinzu kommen eine klare Struktur bei der Bedienung und eine angenehmes GUI, aber leider nur auf Englisch.
Wie im Test ersichtlich, ist auch die Einrichtung oder ein Firmware-Update ohne große Hürden durchführbar. Wer auf der Suche nach einer UTM-Appliance mit den genannten Funktionen ist, ist mit dieser Box sicher gut bedient. Allerdings setzt die Konfiguration des Gerätes aufgrund der Komplexität der Materie und der nur mäßigen Dokumentation voraus, dass sich der Anwender mit Netzwerken und deren Sicherheitsaspekten auskennt. (hal)
|
Produkt |
Cyberoam CR 50ia |
|---|---|
|
Hersteller |
|
|
Firewall-Durchsatz |
750 Mbit/s |
|
VPN-Durchsatz (3DES) |
50 Mbit/s |
|
Antivirus-Durchsatz |
150 Mbit/s |
|
IPS-Durchsatz |
200 Mbit/s |
|
Maximale Sessions |
8000 |
|
Features |
VPN, Firewall, Antivirus, Intrusion Prevention und Detection (IPS), Spam-Filter, Web-Filtering, Bandbreitenmanagmenet |
|
Preis Testgerät |
zirka 1300 Euro |